Flamer- New Stuxnet-like malware

显示全部楼层 · 发表于 2012-6-1 19:49:15

尘梦幽然发表于 2012-6-1 19:43
卡饭上报党在N年前就能上报火焰病毒？打死我也不信。。。卡饭没那么厉害。。。

你说这个。。。我不了解了。。。

其实现在每天被截获的病毒样本和file hash都是海量的，大厂可能截获得很早，但并不一定深入分析得也很早。

据新闻报道，卡巴斯基也是应一个国际组织的要求真人杀毒才发现Flame的，而该组织怀疑中毒了，是因为重要文件被大量删除了。。。囧。。。

显示全部楼层 · 发表于 2012-6-1 19:50:41

病毒抗体发表于 2012-6-1 19:49
你说这个。。。我不了解了。。。

其实现在每天被截获的病毒样本和file hash都是海量的，大厂可能截获得 ...

赛门铁克5月28日才正式入库，但是下载智能分析可以成功处理。

显示全部楼层 · 发表于 2012-6-1 19:54:44

本帖最后由 wjcharles 于 2012-6-1 20:05 编辑

猪头无双发表于 2012-6-1 12:22
入库没用，如果换个MD5或者换个hash,人为更新的话，还指不定谁能笑到最后呢，就像当年的熊猫烧香

这倒不一定，1L两个样本入库前显示一年前发现，用户少于50大于5个，文件信誉不良，
http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037
如果直接下载会被下载分析杀的；换HASH的话变成了新文件，更容易被杀，除非加有效签名
不过如果针对诺顿的话下载分析可以被绕过，就跟网购木马绕过网盾一样

显示全部楼层 · 发表于 2012-6-2 02:56:35

本帖最后由 hx1997 于 2012-6-2 03:05 编辑

从 mscrypt.dat 提取出来的 PE 文件，看看几家报毒？Hash 入库的全部死光了吧？

11 / 41
18 / 41

再和旧样本的报告作对比，就发现那么多杀软厂商是不分析，直接入库的。

37 / 42

显示全部楼层 · 发表于 2012-6-2 03:00:50

本帖最后由 hx1997 于 2012-6-2 03:02 编辑

656635525 发表于 2012-5-31 23:58
＠ AVG的命名就是那个样
。＿。

不是这个原因... 脱壳前后 AVG 的报毒名称有改变，按理说不应该变的。改变了说明 AVG 匹配了另一个病毒的特征，这就很可能是误判了。

显示全部楼层 · 发表于 2012-6-2 03:04:25

hx1997 发表于 2012-6-2 02:56
从 mscrypt.dat 提取出来的 PE 文件，看看几家报毒？Hash 入库的全部死光了吧？

11 / 41

密码：infected
微点扫描报一个
另外一个运行错误

显示全部楼层 · 发表于 2012-6-2 03:05:33

Howl 发表于 2012-6-2 03:04
密码：infected
微点扫描报一个
另外一个运行错误

第二个是 DLL。

显示全部楼层 · 发表于 2012-6-2 03:06:41

hx1997 发表于 2012-6-2 03:05
第二个是 DLL。

汗

显示全部楼层 · 发表于 2012-6-2 09:29:57

本帖最后由 656635525 于 2012-6-2 09:34 编辑

hx1997 发表于 2012-6-2 03:00
不是这个原因... 脱壳前后 AVG 的报毒名称有改变，按理说不应该变的。改变了说明 AVG 匹配了另一个病毒 ...

学习了

脱壳前报的是？脱了衣服后呢？
Agent ----------------------- pakes

显示全部楼层 · 发表于 2012-6-2 11:05:46

刚开始只有卡巴报，卡巴好强啊！！以后开公司果断装卡巴

[病毒样本] Flamer- New Stuxnet-like malware

本帖子中包含更多资源

本帖子中包含更多资源

评分