发现一个过费尔的样本，完全无反应，云鉴定安全...

显示全部楼层 · 发表于 2012-12-6 10:21:07

本帖最后由 liangxy 于 2012-12-6 10:23 编辑

如题，样本在http://bbs.kafan.cn/thread-1423472-1-1.html这里。云鉴定安全，双击主防沉默。
火眼：http://fireeye.ijinshan.com/anal ... 4e848a6&type=1#
VT:https://www.virustotal.com/file/ ... nalysis/1354760213/

看火眼的行为：搜索指定窗口，附加信息：["" , "QQ2011"]，["" , "QQ2012"]。99%是病毒了吧？

PS:我开着qq测试的

另外发现一个白加黑的黑dll有20MB那么大，我去啊，怎么上报？http://bbs.kafan.cn/thread-1423470-1-1.html

显示全部楼层 · 发表于 2012-12-6 11:04:56

有些样本会检测运行环境，不符合时不暴露行为也没有明显的威胁动作，这种情况下动态防御是不能报它为病毒的。

显示全部楼层 · 发表于 2012-12-6 11:10:28

不管如何楼主的精神还是可嘉的

显示全部楼层 · 发表于 2012-12-6 11:33:54

lz是什么操作系统??有些病毒在x64位系统上是跑不起来的

显示全部楼层 · 发表于 2012-12-6 11:46:11

Filseclab 发表于 2012-12-6 11:04
有些样本会检测运行环境，不符合时不暴露行为也没有明显的威胁动作，这种情况下动态防御是不能报它为病毒的 ...

。。。。。。过了就是过了。。。。不能这样说啊。。。

听你这个话。。。。那任何有主防的杀软用户是不是都可以放心了呢？？？

显示全部楼层 · 发表于 2012-12-6 15:45:25

miss，已上报

显示全部楼层 · 发表于 2012-12-6 16:21:42

wqcaokeyinwq 发表于 2012-12-6 11:46
。。。。。。过了就是过了。。。。不能这样说啊。。。

多想了不是。我是在解释为什么动态防御被过，不是说它不是毒。

显示全部楼层 · 发表于 2012-12-6 16:35:39

wqcaokeyinwq 发表于 2012-12-6 11:46
。。。。。。过了就是过了。。。。不能这样说啊。。。

这次我支持官人，试问一个病毒不能成功运行那又怎么能说是病毒呢，如果非要说的话只能说还没有入库，但对于主防而言我认为没什么问题，主防不依靠病毒库而是行为分析，无法运行即没有威胁，没有威胁主防自然不会报警

建议你多看一点关于主防的基本知识

显示全部楼层 · 发表于 2012-12-6 16:36:52

Filseclab 发表于 2012-12-6 16:21
多想了不是。我是在解释为什么动态防御被过，不是说它不是毒。

这个必须顶，楼主不知道主防是什么概念。

显示全部楼层 · 发表于 2012-12-6 16:41:56

如果是开着QQ测试并且是满足条件的QQ版本，主防依然沉默则是主防的问题，这个应该是类似于QQ粘虫木马

[费尔] 发现一个过费尔的样本，完全无反应，云鉴定安全...