Why Antivirus is Not Enough

显示全部楼层 · 发表于 2012-6-21 20:31:52

本帖最后由 360Tencent 于 2012-6-21 21:09 编辑

http://www.digitalbond.com/2012/ ... irus-is-not-enough/

What was quite interesting about the malware was that only 7 out of 42 antivirus products used on VirusTotal initially recognized the attachment sent to us as malicious. More antivirus companies have joined the ranks, but still only 62% detect it. The file that the email attachment downloads is still only recognized by 3 out of 42. Notably, Symantec and McAfee still don’t recognize it as malicious.

Digital Bond （工控系统安全厂商）的一名员工之前收到一封恶意邮件，里面包含一个自解压的文件（初始检测率7/42）,而这个附件执行后下载的文件在VT上的检测率依旧只有3/42，国外的分析认为针对的目标是美国国防承包商，大学，和安全公司。

邮件照片

附件信息

File: Leveraging_Ethernet_Card_Vulnerabilities_in_Field_Devices.zip

Size: 1886505

MD5: 820B1CD69828983C089370BDC3CF5870

This archive contained an executable with the following properties:

File: Leveraging_Ethernet_Card_Vulnerabilities_in_Field_Devices.pdf.exe

Size: 2192363

MD5: C6B95B178188B8C35D14BED40520E685

研究报告(内容不少，挺有意思的，虽然有点长）

http://www.digitalbond.com/2012/ ... shing-malware-file/

http://labs.alienvault.com/labs/ ... ible-ramifications/

http://blog.ioactive.com/2012/06/old-tricks-new-targets.html

新闻报道

http://arstechnica.com/security/ ... al-systems-experts/

附上一个网址+附件（可以从研究报告的链接里发现更多信息）

http://report.crabdance.com/report

https://www.virustotal.com/file/ ... nalysis/1340279585/

作者似乎有意避开了迈克菲，卡巴，趋势，瑞星,飞塔等一批注重企业/大型机构安全的厂商

显示全部楼层 · 发表于 2012-6-21 20:39:33

avg kill
英语好久没怎么学了看研究报告有点压力。。

显示全部楼层 · 发表于 2012-6-21 20:46:00

Q管 kill

显示全部楼层 · 发表于 2012-6-21 20:47:17

显示全部楼层 · 发表于 2012-6-21 20:49:20

360杀了

显示全部楼层 · 发表于 2012-6-21 20:50:22

[木马病毒] Win32.Troj.Undef.(云鉴定)
描述：这是一个木马程序，可能会盗取您的账号、破坏计算机、窃取隐私、乱弹广告。
文件位置：C:\Documents and Settings\Administrator\桌面\New NJVC First Half 2012 Report.exe

显示全部楼层 · 发表于 2012-6-21 20:51:46

本帖最后由 humanlwj52 于 2012-6-21 20:53 编辑

ESET killed.

C:\Quarantine\New_NJVC_First_Half_2012_Report\New NJVC First Half 2012 Report.exe > RAR > hkcmd.exe - Win32/TrojanDownloader.Agent.RFT trojan

显示全部楼层 · 发表于 2012-6-21 20:56:17

本帖最后由 zyx9 于 2012-6-21 20:58 编辑

一个生成物

VT 20 / 42
https://www.virustotal.com/file/ ... nalysis/1340283408/

显示全部楼层 · 发表于 2012-6-21 20:57:24

2012-06-21 20:49:27 C:\Documents and Settings\Roger\桌面\virus\New_NJVC_First_Half_2012_Report\New NJVC First Half 2012 Report\hkcmd.exe Sandboxed As Partially Limited

2012-06-21 20:49:33 C:\Documents and Settings\Roger\桌面\virus\New_NJVC_First_Half_2012_Report\New NJVC First Half 2012 Report\hkcmd.exe Modify Key HKUS\S-1-5-21-448539723-261903793-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run\load

下載物沒抓到

显示全部楼层 · 发表于 2012-6-21 20:58:56

火眼 https://fireeye.ijinshan.com/ana ... f77b27c2f5d1d9bc532

[病毒样本] Why Antivirus is Not Enough

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源