超级工厂”变种6月侵入中国曾感染国内高新企业

显示全部楼层 · 发表于 2011-10-21 18:38:06

后排支持

显示全部楼层 · 发表于 2011-10-21 18:56:40

http://www.kernelmode.info/forum ... &start=10#p9334

显示全部楼层 · 发表于 2011-10-21 19:20:14

dl123100 发表于 2011-10-21 18:56
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=1210&start=10#p9334

看tw上相关的讨论，据说传播也没有用0day,全社工。

显示全部楼层 · 发表于 2011-10-21 20:34:11

Tron 发表于 2011-10-21 19:20
看tw上相关的讨论，据说传播也没有用0day,全社工。

貌似现在国外大多不知道知道360首先发现，并且有loader？MJ可以再次名扬国际了

显示全部楼层 · 发表于 2011-10-21 20:40:34

wjcharles 发表于 2011-10-21 20:34
貌似现在国外大多不知道知道360首先发现，并且有loader？MJ可以再次名扬国际了

360在国内是首先发现，在国外不是吧，这个样本先在国外使用后来才传入国内的，所以应该国外的杀软会先抓到，应该今年年初就在国外用了。

显示全部楼层 · 发表于 2011-10-21 20:44:57

Tron 发表于 2011-10-21 20:40
360在国内是首先发现，在国外不是吧，这个样本先在国外使用后来才传入国内的，所以应该国外的杀软会先抓 ...

卡巴这么说这个驱动的

Driver
The first “real” Duqu file was also sent for scanning to Virustotal, also probably from Hungary. This took place on September 9.

The file was sent with its original name cmi4432.sys, and it indicates the variant of the driver, which has a C-Media digital signature.

http://www.securelist.com/en/blo ... f_Duqu_Part_One#add

显示全部楼层 · 发表于 2011-10-21 20:58:52

wjcharles 发表于 2011-10-21 20:44
卡巴这么说这个驱动的

他是说送到virustotal的是9月的，但是传播肯定更早了。

显示全部楼层 · 发表于 2011-10-21 21:00:46

2L真会说话啊

显示全部楼层 · 发表于 2011-10-21 21:07:12

Tron 发表于 2011-10-21 20:58
他是说送到virustotal的是9月的，但是传播肯定更早了。

传播是早就进行了，那个驱动的签名都是去年的，但在国外cmi4432.sys这个驱动被杀软厂商发现是在上传VT之后啊，再说目前还没有哪个厂商说自己有loader，所以应该是360 最先发现，只不过没有深入研究。。。

显示全部楼层 · 发表于 2011-10-21 21:08:45

本帖最后由 Tron 于 2011-10-21 21:14 编辑

wjcharles 发表于 2011-10-21 21:07
传播是早就进行了，那个驱动的签名都是去年的，但在国外cmi4432.sys这个驱动被杀软厂商发现是在上传VT之后 ...

厂商应该也拿到loader了吧。

[资讯] 超级工厂”变种6月侵入中国 曾感染国内高新企业

[资讯] 超级工厂”变种6月侵入中国曾感染国内高新企业