请高手验证EVEREST V4.00.1059 是木马还是误报

显示全部楼层 · 发表于 2007-11-12 00:34:52

不是，這是工程師給我的回覆

显示全部楼层 · 发表于 2007-11-12 01:02:02

我运行过这个样本，没发现异常。如果卡巴能查出这是个木马，运行后生成的木马文件卡巴肯定也能查出，但运行后用卡巴扫描却除了这个文件本身以外没有检测到任何其他的可疑文件。
运行样本后会在 C:\Documents and Settings\***\Local Settings\Temp 下生成 RarSFX0 文件夹，里面就是“everest”的程序文件，当退出打开的 everest 程序后这个文件夹会被自动删除，下次运行样本会再次重建这个文件夹，退出程序就再次删除这个文件夹，里面的文件用卡巴扫描未发现异常。

这个文件夹打包后上传到了网络硬盘：
http://www.91files.com/?BKEB6WRPY7OAK4EJEIGZ

有兴趣和封装技术的可以重新加密封装这个文件夹里的文件，试试卡巴的反应。

[ 本帖最后由浪滔天于 2007-11-12 01:11 编辑 ]

显示全部楼层 · 发表于 2007-11-12 01:19:51

我把这个文件夹打包发送给卡巴了，看卡巴怎么说~

显示全部楼层 · 发表于 2007-11-12 11:06:17

結果如何？

显示全部楼层 · 发表于 2007-11-12 11:22:47

有毒!!
你想用这个,到华军去下个,注册码网上就有,装完后,把整个文件夹复制保存起来,以后用的时候解压就是绿色的.

显示全部楼层 · 发表于 2007-11-12 14:04:26

我这样运行一下EVEREST V4.00.1059 ，各位高手看行吗？

就是先把卡巴关掉后再运行EVEREST V4.00.1059 ，然后删掉这个EVEREST V4.00.1059 程序，
再开卡巴扫描，如果没有检测到病毒，就证明这个EVEREST V4.00.1059 没有问题。
各位高手看行吗？

显示全部楼层 · 发表于 2007-11-12 15:30:59

我用EAV扫描没有反应！

显示全部楼层 · 发表于 2007-11-12 16:43:38

Hello.
No malicious software was found in the attached file.
-----------------
Regards, Vladimir Lebedev
Virus Analyst, Kaspersky Lab.

Ph.: +7(095) 797-8700
E-mail: newvirus@kaspersky.com
http://www.kaspersky.com http://www.viruslist.com

> Attachment: avp.zip

>
> The file will be sent to Kaspersky Lab for analysis.

卡巴的回复，个人认为这个应该没毒，但这种东西谁也不知道里面究竟会藏着掖着什么，类似的东西还是少用为妙。
如果其他软件也报的话，估计也是类似于卡巴基于封装行为特征作出的判断。

[ 本帖最后由浪滔天于 2007-11-12 17:00 编辑 ]

显示全部楼层 · 发表于 2007-11-12 17:12:13

运行过后，样本也可能生在别的地方、、、

显示全部楼层 · 发表于 2007-11-12 18:40:50

我先把卡巴关掉后再运行EVEREST V4.00.1059 ，然后删掉这个EVEREST V4.00.1059 程序，
再开卡巴扫描C盘，内存，启动，关键区没有检测到病毒！！！应该是误报吧！

[病毒样本] 请高手验证EVEREST V4.00.1059 是木马还是误报

回复 10楼浪滔天的帖子

回复 11楼 kato9096 的帖子

回复 13楼浪滔天的帖子

回复 14楼 kato9096 的帖子

[病毒样本] 请高手验证EVEREST V4.00.1059 是木马还是误报

回复 10楼 浪滔天 的帖子

回复 11楼 kato9096 的帖子

回复 13楼 浪滔天 的帖子

回复 14楼 kato9096 的帖子

回复 10楼浪滔天的帖子

回复 13楼浪滔天的帖子