让大家见识一下SpyEyes（金山安全,现可杀），李白进

hx1997

嘛，毛豆沙盘的结果，Suspicious++

http://cima.security.comodo.com/ ... ebff4d84f284e5d.htm

• Verdict
Auto Analysis Verdict
Suspicious++

• Description
Suspicious Actions Detected
Deletes self
Hides files from user
Injects code into other processes

evilrabbit

liulangzhecgr 发表于 2011-8-26 11:19
所以吗!有人说不是毒也对!专家说的毒 也对!

该我多多反省!

砖家才对吧。VT上的那些程序版本 好像大部分是命令行查杀的吧，之前某某人透露细节了，某些杀毒跟风现象很强大。最早是卡巴斯基。现在貌似是跟着卡巴和bd走的路线比较多。好多时候报不报要不是他们病毒分析人员做决定的，有时候他们没那个权限。用户会分两批人来说的，一部分人说，这个那么多厂商报了，你不报，真不行，垃圾杀软，这个病毒都查不出来。另一批人会说这个不是病毒啊，干什么报，你们杀软厂商管什么吃的?
于是报毒的名称就这样 开始多元化起来，报成红色的，但注明是风险程序还是后门，还是啥的，不过不一定是。

hx1997

evilrabbit 发表于 2011-8-26 11:24
砖家才对吧。VT上的那些程序版本 好像大部分是命令行查杀的吧，之前某某人透露细节了，某些杀毒跟风现象很 ...

在线沙盘的结果总不会跟着卡巴斯基走吧

zhousulin5

这个样本，有意思。我崇拜的高手都意见不一了。
不过，我倾向于有威胁的判断。
虚拟机中试了一下，压根就没看到过进程。不过，仍然不能因此就认为它没有威胁。

evilrabbit

hx1997 发表于 2011-8-26 11:27
在线沙盘的结果总不会跟着卡巴斯基走吧

在线沙盘机制，不能模仿么 TF的沙盘貌似就是一个虚拟机搭建的环境然后xx。好多都不该这么报的。误报太高

hx1997

evilrabbit 发表于 2011-8-26 11:28
在线沙盘机制，不能模仿么 TF的沙盘貌似就是一个虚拟机搭建的环境然后xx。好多都不该这么报 ...

你是说虚拟机运行样本的行为也会误报的吗？
那我多找几个好了...

郑伟用户

hx1997 发表于 2011-8-26 11:27
在线沙盘的结果总不会跟着卡巴斯基走吧

不过我觉得这也不能说是病毒，在线沙盘的环境还不如实机环境呢。而且要说这个现象那QQ 杀软 输入法最该杀

evilrabbit

hx1997 发表于 2011-8-26 11:31
你是说虚拟机运行样本的行为也会误报的吗？
那我多找几个好了...

不是这个。貌似你理解错了。我说的是判断机制。TF沙盘会这样给你危险度的提示。触发了哪些动作，报什么，而且可能也挂了几个杀毒软件。或者上传的时候扫描这个文件是不是病毒啥的。然后综合情况分析、
这个机制貌似也是参考国外某开源的沙盘弄的。

hx1997

郑伟用户 发表于 2011-8-26 11:35
不过我觉得这也不能说是病毒，在线沙盘的环境还不如实机环境呢。而且要说这个现象那QQ 杀软 输入法最该杀

在线沙盘的环境就是特地设置为符合病毒运行条件的，比如反反虚拟机神马的
在线沙盘能运行就说明一定有某种环境可以运行，那杀软就应该入库啊

有可能样本检测操作系统语言呢，比如英文系统才感染神马的，当然不一定是这个样本

一晴空

hx1997 发表于 2011-8-26 11:31
你是说虚拟机运行样本的行为也会误报的吗？
那我多找几个好了...

suspicious