收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 实验中的技术最后一次更新(3.5 final)
123456789下一页
返回列表 发新帖
查看: 9127|回复: 89
收起左侧

[病毒样本] 实验中的技术最后一次更新(3.5 final)

 关闭 [复制链接]
jehovah_king
头像被屏蔽
发表于 2008-2-3 12:18:31 | 显示全部楼层 |阅读模式
update:找了个更好的原病毒,免杀更彻底

被锁了,直接回复这个帖子
http://bbs.kafan.cn/viewthread.php?tid=197509&extra=page%3D1


感谢大家一直以来的关注与支持

这是这项技术的最后一次更新
从此停止更深入的探究
因为这可能已经是这项免杀技术的极致了
由于我不了解内存方面的技术,又除了qbasic以外不会编程,一直过不了监控,下一次关于这的测试就遥遥无期了,也许是几个月,也许是几年,也许永远没有了 谁知道呢  


大家尽可以上报到任何反病毒厂商,因为这病毒似乎没什么明显的特征码好提的
如果报的是病毒切片(几乎不可能,看看切片文件大小就知道了 )大不了再切小点,
如果报的是.bat那就更简单了随便加几个 ver\shutdown -a\...就又免杀了

[ 本帖最后由 jehovah_king 于 2008-2-4 16:56 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

jehovah_king
头像被屏蔽
 楼主| 发表于 2008-2-3 12:21:45 | 显示全部楼层
附件说明
第一个是病毒
第二个是第一个中最有可能被提特征码的部分
如果被报,就按我说的方法多试试,一下子便又免杀了
回复

举报

jehovah_king
头像被屏蔽
 楼主| 发表于 2008-2-3 12:22:43 | 显示全部楼层

发个vt的结果

原病毒
文件 fbd.exe 接收于 2008.02.03 03:41:19 (CET)反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2008.2.3.10 2008.02.02 Win-Trojan/Agent.9373.I
AntiVir 7.6.0.61 2008.02.01 TR/Agent.drk
Authentium 4.93.8 2008.02.01 -
Avast 4.7.1098.0 2008.02.02 -
AVG 7.5.0.516 2008.02.02 Generic9.ALCA
BitDefender 7.2 2008.02.03 -
CAT-QuickHeal 9.00 2008.02.01 Trojan.Agent.drk
ClamAV 0.92 2008.02.03 PUA.Packed.UPack
DrWeb 4.44.0.09170 2008.02.02 Trojan.Inject.570
eSafe 7.0.15.0 2008.01.28 suspicious Trojan/Worm
eTrust-Vet 31.3.5504 2008.02.01 -
Ewido 4.0 2008.02.02 Trojan.Agent.drk
FileAdvisor 1 2008.02.03 High threat detected
Fortinet 3.14.0.0 2008.02.02 W32/Agent.DRK!tr
F-Prot 4.4.2.54 2008.02.02 W32/Heuristic-162!Eldorado
F-Secure 6.70.13260.0 2008.02.01 W32/Malware
Ikarus T3.1.1.20 2008.02.03 Trojan-Spy.Win32.Banker.ahy
Kaspersky 7.0.0.125 2008.02.03 Trojan.Win32.Agent.drk
McAfee 5221 2008.02.01 New Malware.n
Microsoft 1.3204 2008.02.03 VirTool:Win32/Obfuscator.C
NOD32v2 2845 2008.02.02 probably a variant of Win32/Spy.Agent
Norman 5.80.02 2008.02.01 W32/Suspicious_U.gen
Panda 9.0.0.4 2008.02.02 Suspicious file
Prevx1 V2 2008.02.03 Heuristic: Suspicious File With Code Injection Technology
Rising 20.29.22.00 2008.01.30 Trojan.Win32.Undef.avh
Sophos 4.26.0 2008.02.02 Mal/EncPk-BW
Sunbelt 2.2.907.0 2008.02.02 Trojan.Agent.drk
Symantec 10 2008.02.02 Infostealer
TheHacker 6.2.9.206 2008.02.02 Trojan/Agent.drk
VBA32 3.12.6.0 2008.02.02 Trojan.Win32.Agent.drk
VirusBuster 4.3.26:9 2008.02.02 Packed/Upack
Webwasher-Gateway 6.6.2 2008.02.03 Trojan.Agent.drk

附加信息
File size: 9373 bytes
MD5: 12a9ce378b3ecbb6a466df701c61b020
SHA1: f4f88dd66dd07bef7399f0b358a99c2f3708c984
PEiD: WinUpack v0.39 final (relocated image base) -> By Dwing (c)2005 (h2)
Bit9 info: http://fileadvisor.bit9.com/serv ... bb6a466df701c61b020
packers: UPack
packers: UPack
Prevx info: http://info.prevx.com/aboutprogr ... 068ECF5C300464AD467
回复

举报

jehovah_king
头像被屏蔽
 楼主| 发表于 2008-2-3 12:23:15 | 显示全部楼层

处理后

文件 virus4.0.exe 接收于 2008.02.03 03:48:30 (CET)反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2008.2.3.10 2008.02.02 -
AntiVir 7.6.0.61 2008.02.01 -
Authentium 4.93.8 2008.02.01 -
Avast 4.7.1098.0 2008.02.02 -
AVG 7.5.0.516 2008.02.02 -
BitDefender 7.2 2008.02.03 -
CAT-QuickHeal 9.00 2008.02.01 -
ClamAV 0.92 2008.02.03 -
DrWeb 4.44.0.09170 2008.02.02 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5504 2008.02.01 -
Ewido 4.0 2008.02.02 -
FileAdvisor 1 2008.02.03 -
Fortinet 3.14.0.0 2008.02.02 -
F-Prot 4.4.2.54 2008.02.02 -
F-Secure 6.70.13260.0 2008.02.01 -
Ikarus T3.1.1.20 2008.02.03 -
Kaspersky 7.0.0.125 2008.02.03 -
McAfee 5221 2008.02.01 -
Microsoft 1.3204 2008.02.03 -
NOD32v2 2845 2008.02.02 -
Norman 5.80.02 2008.02.01 -
Panda 9.0.0.4 2008.02.02 -
Prevx1 V2 2008.02.03 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.02 -
Sunbelt 2.2.907.0 2008.02.02 -
Symantec 10 2008.02.02 -
TheHacker 6.2.9.206 2008.02.02 -
VBA32 3.12.6.0 2008.02.02 -
VirusBuster 4.3.26:9 2008.02.02 -
Webwasher-Gateway 6.6.2 2008.02.03 -

附加信息
File size: 229385 bytes
MD5: 77ea518a0964ed2e071e757e1e1494bc
SHA1: c329e1771ebcc2e34b8ce2a90044ab6310f29786
PEiD: -
packers: RAR


回复

举报

cici584522
发表于 2008-2-3 12:26:08 | 显示全部楼层
你改的都是些什么额。。。。

建议你还是拿份木马来改改比较好
回复

举报

jehovah_king
头像被屏蔽
 楼主| 发表于 2008-2-3 12:26:22 | 显示全部楼层
一点意外收获


如果那天卡巴把所有key都封完了,我们就一起生成各种垃圾bat文件,一批一批地上报
只要和这类似
http://bbs.kafan.cn/viewthread.p ... page%3D1&page=1
,都会被认为是病毒
回复

举报

jehovah_king
头像被屏蔽
 楼主| 发表于 2008-2-3 12:27:42 | 显示全部楼层

回复 5楼 cici584522 的帖子

CAT-QuickHeal 9.00 2008.02.01 Trojan.Agent.drk
ClamAV 0.92 2008.02.03 PUA.Packed.UPack
DrWeb 4.44.0.09170 2008.02.02 Trojan.Inject.570
eSafe 7.0.15.0 2008.01.28 suspicious Trojan/Worm

别说你不认得trojan
回复

举报

IllusionWing
发表于 2008-2-3 12:27:53 | 显示全部楼层
k掉了
你不知...UG的BAT启发何等强大...你1字节一片都不要紧
就是花了1分多钟解包...

[ 本帖最后由 gankeyu 于 2008-2-3 12:29 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

cici584522
发表于 2008-2-3 12:29:37 | 显示全部楼层
做的都是批处理的免杀。。。。。

你还是拿个PE文件做好了
回复

举报

cici584522
发表于 2008-2-3 12:30:15 | 显示全部楼层
原帖由 gankeyu 于 2008-2-3 12:27 发表
k掉了
你不知...UG的BAT启发何等强大...你1字节一片都不要紧
就是花了1分多钟解包...


那这玩意杀其他的病毒木马杂样?
回复

举报

下一页 »
123456789下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-26 12:40 , Processed in 0.124831 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表