新鲜的狠角色，据说它会干掉Zbot，也试图干掉杀软的Win32/Carberp

显示全部楼层 · 发表于 2015-11-12 08:58:43

清道夫900 发表于 2015-11-11 22:01
这种高危的基本都入库了，测试主防意义也不大了。

正因为入库，才是测主防啊，而且我说的是病毒对抗，我怀疑VSE有主防么？

显示全部楼层 · 发表于 2015-11-12 09:09:39

显示全部楼层 · 发表于 2015-11-12 09:25:31

aboringman 发表于 2015-11-11 18:49
躲得了初一，躲不过十五啊，卡巴就位！

先上扫描：

显示全部楼层 · 发表于 2015-11-12 09:59:16

看介绍大蜘蛛都跪了，实体机，不敢试

显示全部楼层 · 发表于 2015-11-12 11:21:32

昨晚虚拟机测试DRWEB DPHkill 重新启动未见DRWEB异常正常启动。说DRWEB跪了我也是醉了。图未留。

显示全部楼层 · 发表于 2015-11-12 12:28:33

wangfeng66 发表于 2015-11-12 11:21
昨晚虚拟机测试DRWEB DPHkill 重新启动未见DRWEB异常正常启动。说DRWEB跪了我也是醉了。图未留。

兄弟，这货是反虚拟机的，双击以后会自我删除，不会有攻击行为的
DrWeb当然没事

显示全部楼层 · 发表于 2015-11-12 12:31:37

驭龙发表于 2015-11-12 12:28
兄弟，这货是反虚拟机的，双击以后会自我删除，不会有攻击行为的
DrWeb当然没事

可能样本记错了。你的另外一个ZB的样本测试了。DPK杀。但是释放的驱动DRWEB没报警。全程OP报警我没放任驱动生成。

显示全部楼层 · 发表于 2015-11-12 12:42:20

wjy19800315 发表于 2015-11-11 18:54
我是实机操作。有点猛
解压样本不会自己运行吧
上次中招了

还有解压之后会自己运行的样本？？这是什么原理。。。
如果可以的话能提供下当时的现场吗。。。

显示全部楼层 · 发表于 2015-11-12 13:18:57

wjy19800315 发表于 2015-11-11 18:54
我是实机操作。有点猛
解压样本不会自己运行吧
上次中招了

忽然想到，你那不是中毒，是WD机制问题，解压威胁的时候，WD行为监控遥测检测到解压程序释放威胁，由于解压程序是活动的，因此WD报告时显示威胁也是活动，因为WD认为解压工具是活动的，WD说的活动应该是解压工具而不是释放出的样本

显示全部楼层 · 发表于 2015-11-12 13:28:17

我试试毒霸。。希望电脑别挂掉。。。。。

[病毒样本] 新鲜的狠角色，据说它会干掉Zbot，也试图干掉杀软的Win32/Carberp