紧急呼唤能运行样本的朋友

ywsuda

shanghaiplmm 发表于 2013-4-22 14:56
我原来有好几个，现在找不到了，只有一个还是记在脑袋里的，不过不能说的。记得是05年的时间有个symantec ...

原来如此

shanghaiplmm

iscomodo 发表于 2013-4-22 14:57
好厉害呀你

原来比较喜欢玩病毒，现在没什么兴趣了，如果今天没看到这个贴根本就不去样本区去。

消停

shanghaiplmm 发表于 2013-4-22 14:38
上报病毒要用这个地址来上报，不过需要有支持的ID，这个在symantec是有记录的，反应的时间要比其他方式 ...

超级用户就有吗？

蓝核

ywsuda 发表于 2013-4-22 13:49
刚把自己救回来。。。。。。

胆子太大。。。。

消停

shanghaiplmm 发表于 2013-4-22 15:34
原来比较喜欢玩病毒，现在没什么兴趣了，如果今天没看到这个贴根本就不去样本区去。

今天这个样本把我气坏了，要是一直不杀我也就认了，以前这类样本sonar可是通杀的！我新装的系统为了方便就把dll默认的打开方式设置了一下，以后测试的时候方便，设置好就运行了一下，以为反正是sonar能通杀，结果我一看进程rundll32成功运行，虽然杀了衍生物，但我已经知道要糟糕了，结果锁屏！我可是实机运行！此外这个样本还会添加启动项！自动防护和IPS的拦截行为出了欺骗用户没有任何实质性的作用！

蓝核

sogou2004 发表于 2013-4-22 13:52
国外区哪些能阻止锁屏？听说MSE神勇了？

至少现在锁屏靠入库。。。不然就是靠hips锁死启动项，不然难。。。。fs我就没指望靠规则杀。。。。最多都靠实时网络或者云引擎杀

消停

蓝核 发表于 2013-4-22 16:01
至少现在锁屏靠入库。。。不然就是靠hips锁死启动项，不然难。。。。fs我就没指望靠规则杀。。。。最多都 ...

诺顿原来是有相应的规则来对付这种dll型的锁屏的，几乎能做到100%，现在这个样本可是说不是过了诺顿，要不是诺顿的云又抽风了，要不就是放弃了对这类样本的拦截！

蓝核

消停 发表于 2013-4-22 16:18
诺顿原来是有相应的规则来对付这种dll型的锁屏的，几乎能做到100%，现在这个样本可是说不是过了诺顿，要不 ...

放弃拦截……为啥……

sogou2004

消停 发表于 2013-4-22 16:18
诺顿原来是有相应的规则来对付这种dll型的锁屏的，几乎能做到100%，现在这个样本可是说不是过了诺顿，要不 ...

这类样本都是在什么情况下才出现
普通用户容易接触到吗？

消停

蓝核 发表于 2013-4-22 16:38
放弃拦截……为啥……

不知道！