最近非常火的Fareit病毒新变种

驭龙

XywCloud 发表于 2015-11-15 10:30
都能杀的发了没啥大意义。那些毒虽然VT上很多都没记录（hash唯一），但是一传上去扫就是超高检出率
命名 ...

难道你不懂样本区的含义？样本区是交流样本的地方，不是说只有VT上不杀的才有必要发，有一些特色威胁，VT上全杀又如何？或许我的想法跟你不一样，我是特色毒就发，管它查杀如何，例如ZA，近乎全杀，可能完全与其对抗的，有几个？现在的安全发展，就是防Exploit和堆栈防御入侵，以及中毒以后的修复，单纯的查杀毫无意义

XywCloud

驭龙 发表于 2015-11-15 10:38
难道你不懂样本区的含义？样本区是交流样本的地方，不是说只有VT上不杀的才有必要发，有一些特色威胁，VT ...

刚刚在我的样本库翻找了下，Fareit的那个变种我一时半会儿没找到（找了我今年9月份和10月份抓的样本），估计还在更老的文件夹。这段时间有看到过新的，但是实在是懒得抓，加壳【UPX（最主要）、UPack、ASPack【前三个是清一色的压缩壳，减小体积，便于Downloader下载，上次看到某黑客的窝里面的一个下载者的配置文件，对应的木马被我全抓了下来，清一色的盗号木马，针对国内的（腾讯系惨遭针对，只不过这也很正常）】，VMProtect（比较少）】和改hash我是真的看腻了
这类病毒说到底了黑客造出来就是想赚钱，不管是盗你QQ号还是游戏帐号乃至于银行帐号，偷到手了黑客就赚了，杀毒软件一旦无法检出，黑客能偷到手的概率就上升了一大截【主防和墙在这一块发挥的作用有限，你要是纯手动挡的话那就当我没说（个人观点，不喜勿喷）】。

EnZhSTReLniKoVa

驭龙 发表于 2015-11-15 10:38
难道你不懂样本区的含义？样本区是交流样本的地方，不是说只有VT上不杀的才有必要发，有一些特色威胁，VT ...

本地主防强 带修复回滚能力的杀软 才是趋势

驭龙

XywCloud 发表于 2015-11-15 11:00
刚刚在我的样本库翻找了下，Fareit的那个变种我一时半会儿没找到（找了我今年9月份和10月份抓的样本）， ...

所以说现在最怕的是Exploit，进来以后都带PWS，干完后就跑，单纯的查杀毫无意义，从根本入手还是堆栈防御，Exploit进不来，大多数的PWS也就歇菜，当然也有诱导用户运行的PWS，那就另当别论。

但很多盗号都是僵尸网络，这就考验到安软的清除能力了，所以单纯的杀没有用，要看能不能干掉隐蔽性不错的bot了

驭龙

君陌潇 发表于 2015-11-15 11:01
本地主防强 带修复回滚能力的杀软 才是趋势

这是基本条件，这都不行的话，何谈防御Exploit，是吧，其实云和本地主防的混合，才是不错的，因此我喜欢WD和DrWeb这样的

ksss5566

趋势繁中

EnZhSTReLniKoVa

驭龙 发表于 2015-11-15 11:09
这是基本条件，这都不行的话，何谈防御Exploit，是吧，其实云和本地主防的混合，才是不错的，因此我喜欢W ...

TH2后   就SSF+WD+沙盘的组合了。感觉没必要装什么杀软了。  

Renascence

不奇怪，诺顿认识这货


安全软件的设计必须针对最广泛用户群体的特点。对广大用户群体而言，尽可能灵敏的监控、尽可能快的响应速度、尽可能少的用户交互构成的初级防御是最关键的。

驭龙

Renascence 发表于 2015-11-15 13:38
不奇怪，诺顿认识这货

所以说单纯的查杀没有意义，还是看防御和清毒才是关键

fuzhk

ericdj 发表于 2015-11-15 09:19
表示这才像BD的报毒名嘛~~~~

光从报毒名完全不能推断病毒类型

BD的习惯，Gen、JS等加乱七八糟.乱七八糟.数字。跟数字QVM感觉 差不多
但是没有小a懒哦，对还有铁壳有时也挺懒的貌似