Virus:Win32/Virut.BN

显示全部楼层 · 发表于 2014-6-9 15:56:27

bav工程师反馈结果：文件可以被修复（virut病毒），但是文件是在染毒后被加壳，修复后无法重新加壳，故删除处理。

显示全部楼层 · 发表于 2014-6-9 18:44:39

本帖最后由 Dust-;羅錠于 2014-6-9 20:48 编辑

XywCloud 发表于 2014-6-9 15:56
bav工程师反馈结果：文件可以被修复（virut病毒），但是文件是在染毒后被加壳，修复后无法重新加壳，故删除 ...

估计这就是为什么Dr.Web报为Trojan.Packed的原因了。

Server.dat - packed by FLY-CODE
Server.dat - packed by ASPROTECT

显示全部楼层 · 发表于 2014-6-9 19:28:03

Dust-;羅錠发表于 2014-6-9 18:44
估计这就是为什么Dr.Web报为Trojan.Packed的原因了。

加的这个壳也不是那种非常用壳啊。。。

显示全部楼层 · 发表于 2014-6-9 19:29:52

XywCloud 发表于 2014-6-9 19:28
加的这个壳也不是那种非常用壳啊。。。

FLY-CODE – 独有的全能文件解压工具，能够解压由 Dr.Web 未知方式打包的对象。利用Dr.Web病毒库中的专门记录搜索模块能够对存在于打包压缩文件中的有害对象作出启发式判断，这时在被侦测出的对象名称后会添加 “可能是Trojan.Packed” 。Packed就是捆绑打包之意。即该技术有利于侦测任何含压缩保护的文件中内含有的恶意捆绑内容（广告程序、后门、木马等）。此技术是对传统特征分析（常规病毒特征码对比）和Dr.Web启发式分析仪的补充，大大分担启发式分析仪脱壳的压力。该技术同时有利于降低启发式分析仪的误报及缩短侦测时间。

所以说这是种启发式。

显示全部楼层 · 发表于 2014-6-9 19:32:11

Dust-;羅錠发表于 2014-6-9 19:29
所以说这是种启发式。

嗯，了解啦~

显示全部楼层 · 发表于 2014-6-9 20:23:36

Dust-;羅錠发表于 2014-6-9 19:29
所以说这是种启发式。

这不是启发
启发会有“可能是”，而这个样本没有

显示全部楼层 · 发表于 2014-6-9 20:26:33

勇者无敌发表于 2014-6-9 20:23
这不是启发
启发会有“可能是”，而这个样本没有

VT从来不会显示Dr.Web的可能两字，直接贴出命名。看完图还需要我解释吗?

显示全部楼层 · 发表于 2014-6-9 20:27:51

Dust-;羅錠发表于 2014-6-9 20:26
VT从来不会显示Dr.Web的可能两字，直接贴出命名。看完图还需要我解释吗?

好的，明白了
我最近没装蜘蛛，只看VT
不好意思

显示全部楼层 · 发表于 2014-6-9 20:40:37

360报毒Win32/Virus.516

显示全部楼层 · 发表于 2014-6-9 21:57:47

卡巴斯基kill

[病毒样本] Virus:Win32/Virut.BN

评分

本帖子中包含更多资源

浏览过的版块