楼主: www-tekeze
收起左侧

[病毒样本] 很恐怖的感染型病毒!

  [复制链接]
兔子大大
头像被屏蔽
发表于 2018-11-16 16:22:43 | 显示全部楼层
www-tekeze 发表于 2018-11-16 16:20
当时试过画图、截图工具等十来个 (文件比较大,没有打包,剔除了),都给出“不是有效的Win32程序”,无疑 ...

看来有些杀软没有隔离也不代表修复成功,跟隔离没有任何区别
www-tekeze
 楼主| 发表于 2018-11-16 16:25:53 | 显示全部楼层
happycat 发表于 2018-11-16 16:17
那就是有些文件卡巴没修复成功,程序无法运行

火绒的修复能力不错,卡巴更强一点吧,但真要全部被感染,靠卡巴修复后就想免去重装系统,那也是不可能的!
兔子大大
头像被屏蔽
发表于 2018-11-16 16:29:18 | 显示全部楼层
www-tekeze 发表于 2018-11-16 16:25
火绒的修复能力不错,卡巴更强一点吧,但真要全部被感染,靠卡巴修复后就想免去重装系统,那也是不可能的 ...

国内的修复能力就属火绒最强了吧,360好像一般,管家(无BD)和金山就更渣
www-tekeze
 楼主| 发表于 2018-11-16 16:36:23 | 显示全部楼层
happycat 发表于 2018-11-16 16:22
看来有些杀软没有隔离也不代表修复成功,跟隔离没有任何区别

本来exe被感染后修复就无法做到完全修复,但Office文档修复后还是不错,只是宏没有了,文档不至于被删。。。这个virut厉害之处是会令Windows系统的文件保护失效,本来系统程序是受保护的,无法篡改,比如即使你是系统管理员登录,想删系统程序也删不了。
智量官方
发表于 2018-11-16 16:36:38 | 显示全部楼层
happycat 发表于 2018-11-16 16:05
智量是不是对感染型病毒的查杀能力不是很好? @智量官方

智量从设计开始就没有把感染型病毒列为技术重心, 基于以下几点原因:

1. 感染型病毒带来的实际危害并没有其它流行恶意程序大,据我们观察,除很少sality变种CC还存活之外,四大感染型病毒:Virut, Sality, Ramnit, Parite 全网活动样本基本都是死毒。即使有存活CC,在中国Sality也很少表现出国外的安装流氓软件现象,可能和犯罪集团所在地域有关。

所以感染型病毒看似厉害,实际对用户利益却无法造成实际伤害。危害比不上现在流行的恶意远控,键盘记录等。

2. 感染型病毒不是恶意程序的发展趋势,恶意程序的发展趋势是逐利,而感染性病毒动静太大,与逐利目标并不契合。所以感染型病毒是在逐步消亡.

3. 修复感染性病毒的投入不小,但是收益却不大。我们现在的主要精力在于解决流行高危害恶意程序。

上面并不是否认感染性程序给用户带来的困扰,事实上我们每天用户当作误报上报给我们的样本大约有10%都感染了ramnit或者sality, 但是用户却没有觉察到,我们下一步会考虑推送专杀工具到终端解决此类问题。

@www-tekeze @happycat


评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 感谢解答: )

查看全部评分

www-tekeze
 楼主| 发表于 2018-11-16 16:40:44 | 显示全部楼层
happycat 发表于 2018-11-16 16:29
国内的修复能力就属火绒最强了吧,360好像一般,管家(无BD)和金山就更渣

毒霸比管家强得多,修复Office、CAD还是不错。
Jerry.Lin
发表于 2018-11-16 16:44:19 | 显示全部楼层
www-tekeze 发表于 2018-11-16 16:15
没样本哈希,当然我传这些是被感染的样本,也不好比较。

感染型跟Hash有什么关系?

图上的那个框框:

Threat Variant Name   中文 威胁变种

就是9年的的变种了啊
www-tekeze
 楼主| 发表于 2018-11-16 16:51:29 | 显示全部楼层
本帖最后由 www-tekeze 于 2018-11-16 16:55 编辑
191196846 发表于 2018-11-16 16:44
感染型跟Hash有什么关系?

图上的那个框框:

这个我知道啊,所以只能说9年历史是Rirut家族,至于这个帖的样本是不是近期的变种,无法判断吧?

PS:如果是近期变种,某些提取表层特征码的杀软就识别不了,当然你说它辣鸡我也不反对。

幽冥の龙
发表于 2018-11-16 16:57:46 | 显示全部楼层
本帖最后由 幽冥の龙 于 2018-11-16 17:07 编辑
www-tekeze 发表于 2018-11-16 15:48
我觉得两者关系是:优势不重复、劣势互补,1+1=2 。。

对5.0火绒查杀率也别抱太大希望,不信到 ...

感觉现在智量问题还是比较多。。 今天换了360极速浏览器 发现插件装不了,提示无法更改目录,后来发现是智量的锅,关了质量就好了,也不知道啥原因提示都没的。  然后因为装了火绒 WIN10 的WD是关掉的,今天突然蹦出来WD更新。。。然后我看了下WD不知道什么时候打开了,火绒显示的关闭状态…… 但我火绒明明开着呢,不知道是不是因为装智量的时候 覆盖掉了  被系统判断成没安装杀软了……然后又重新安装了一遍火绒 WD自动关掉了……
另外感觉智量挺卡文件的。。我估计浏览器安装不了插件也是这个原因,被智量卡住了。
我玩网游FF14 打开游戏都要等很久,把FF14文件夹加入信任也不好使。。卸载智量后游戏秒开
哦不过也有可能是WD卡的。。毕竟我也没发现WD一直开着。。 等于电脑上有3个杀软同时工作
wowocock
发表于 2018-11-16 16:58:45 | 显示全部楼层
www-tekeze 发表于 2018-11-16 16:36
本来exe被感染后修复就无法做到完全修复,但Office文档修复后还是不错,只是宏没有了,文档不至于被删。 ...

系统文件被感染的修复,360是强项,因为采用了系统文件替换的流程,所有的微软系统文件,360后台都有对应的下载,所以即使所有系统文件都被感染,也都能用系统原装的下载恢复,不存在常规修复出现的问题。

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 09:14 , Processed in 0.096630 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表