无聊破堕马谣言

zwl2828

原帖由 mofunzone 于 2007-12-16 15:08 发表
你保证nod32可以查杀100%的inf文件？
至少我朋友的那么多nod32都没杀出来的
我估计杀inf文件eset也是迫不得已，因为没能力迅速反应u盘病毒变种，所以出此下策，卡巴和antivir都不把inf文件列为病毒，或者说，很少有 ...

我不保证，的确，我承认ESET对U盘病毒（特别是中国）反映不够迅速！
但是有一个改进的过程啊~

[ 本帖最后由 zwl2828 于 2007-12-16 15:11 编辑 ]

mofunzone

所以多谢如此，每次我都可以去弄几个样本回来耍耍

solcroft

原帖由 mofunzone 于 2007-12-16 16:38 发表
你保证nod32可以查杀100%的inf文件？

你能保证avira可以查杀100%的优盘病毒？
一样的答案

而且这个INF/Autorun的杀法很奇怪
静态扫描有时不杀，好像要等到实时被创建的时候才杀得出

mofunzone

我不能说100%，我只能说比nod32高的多，第一，nod32的启发你也知道，默认设置如果杀不出inf，即使u盘病毒能杀出来，但是因为没有高启发，所以一样会被运行，运行了样本之后分解出了几个病毒nod32能不能杀出来那就是问题了，因为被运行了，生成的文件就未必能杀出来了
第二，如果我写一个inf指向http://bbs.kafan.cn/viewthread.php?tid=152314&page=3这个帖子中的文件，你觉得nod32多久能杀出来呢？
现在已经一个月了，nod32的反应速度绝对出乎我意料
当时的扫描报告也有，再帖一个现在的
A-Squared         Found nothing
AntiVir         Found TR/Drop.Wutau.4.B
ArcaVir         Found nothing
Avast         Found nothing
AVG Antivirus         Found Downloader.Generic6.WZJ
BitDefender         Found nothing
ClamAV         Found nothing
CPsecure         Found Troj.Downloader.W32.Delf.bq
Dr.Web         Found nothing
F-Prot Antivirus         Found nothing
F-Secure Anti-Virus         Found Backdoor:W32/FlyAgent.C, Trojan-Downloader.Win32.FlyStudio.h
Fortinet         Found nothing
Ikarus         Found Trojan.Click.2809
Kaspersky Anti-Virus         Found Trojan-Downloader.Win32.FlyStudio.h
NOD32         Found nothing
Norman Virus Control         Found nothing
Panda Antivirus         Found nothing
Rising Antivirus         Found Backdoor.Win32.Agent.ypn
Sophos Antivirus         Found nothing
VirusBuster         Found nothing
VBA32         Found Embedded.Trojan-Downloader.Win32.FlyStudio.h (probable variant)

[ 本帖最后由 mofunzone 于 2007-12-15 23:21 编辑 ]

hj5abc

这个不能否认, nod的监控对存在于u的病毒能力很有限..

INF/Autorun,好像在提示"modified"的时候才有反应,
但我试过把隔离区的INF/Autorun还原出来再扫,一样可以杀,但把内容复制出来再创建一个inf文件就不报了.
很模糊.

solcroft

原帖由 mofunzone 于 2007-12-16 16:49 发表
我不能说100%，我只能说比nod32高的多，第一，nod32的启发你也知道，默认设置如果杀不出inf，即使u盘病毒能杀出来，但是因为没有高启发，所以一样会被运行，运行了样本之后分解出了几个病毒nod32能不能杀出来那就是问 ...

这个问题的确值得反馈
就留给NOD32迷去吧，看看Eset对这个启发的问题怎么说

mofunzone

没什么办法，就是监控也开高启发，享受爆卡的感觉，卡巴斯基也不会连续一个小时cpu 100%呀

mofunzone

发现一个好笑的问题，我发的那个flystudio的样本，fprot当时能扫到，怎么现在不行了

solcroft

要加入对//Device/*进行高启发监控的功能也不见得有多难
怎么会没办法？有一大把呢
就只看Eset愿不愿意行动

mofunzone

你这种路径的一点意义也没有，有的u盘病毒是复制到每个device的recycle里面的，所以inf里面是recycle/*的路径，而你只//device/*这种路径只扫描分区跟目录，往里一层就废了，而且实际想要做多少层就可以做多少层
所以我说了，唯一的办法就是监控也高启发，或者改进反应速度