过红伞等的鸽子

显示全部楼层 · 发表于 2007-4-13 12:17:34

从这个事例来说,红伞还真不是见壳就报的了.

显示全部楼层 · 发表于 2007-4-13 12:44:04

这2个好象没加壳，加了的话avast!扫描结果会显示出来的

显示全部楼层 · 发表于 2007-4-13 12:49:05

原帖由 EQ2 于 2007-4-13 01:34 发表
不过avast倒是报了鸽子了。。。。
PS：发现加错了文件。。。。哭死了。。。。。

幸福,看上面,加错了文件,不是加壳?

显示全部楼层 · 发表于 2007-4-13 12:50:14

原帖由 欠你幸福 于 2007-4-12 20:44 发表
这2个好象没加壳，加了的话avast!扫描结果会显示出来的

他自己把壳的特征码改了，你的avast当然扫不出来了。。
eq2天真的以为可以改壳的特征码，殊不知改了之后这文件100%就over了
想要加壳免杀，无非就是导出要免杀内容（网马一般会生成东西，杀毒软件大部分是定位这些东西的），加壳之后导回，这样特征没了，而且生成的东西也不会被杀。。
再就是在壳的基础上做偏移
当时我在申博看见eq2说对antivir免杀只要加壳然后改壳的特征码的时候我都笑惨了。。

显示全部楼层 · 发表于 2007-4-13 13:24:16

有点伤心，江民没报灰鸽子，放行了

显示全部楼层 · 发表于 2007-4-13 15:33:45

运行后就出了cmd框

显示全部楼层 · 发表于 2007-4-13 15:34:32

运行后也没有生成物，确定是鸽子么，工作原理是什么？

显示全部楼层 · 发表于 2007-4-13 16:53:06

Dear Sir or Madam,

Thank you for your email to Avira's virus lab.
Tracking number: INC00030034.

We received the following archive files:

File ID  Filename  Size (Byte) Result
259759  0000000.rar 313.507 OK
259760  0000000.exe 760.832 OK

A listing of files contained inside archives alongside their results can be found below:

File ID  Filename  Size (Byte) Result
260152  0000000.exe  760.832  MALWARE

Please find a detailed report concerning each individual sample below:

Filename Result  0000000.exe  MALWARE

The file '0000000.exe' has been determined to be 'MALWARE'. Our analysts named the threat BDS/Hupigon.760832. The term "BDS/" denotes a Backdoor-Server program. Backdoor-Server programs are used to spy out, modify or delete data.Detection will be added to our virus definition file (VDF) starting with the next update.

显示全部楼层 · 发表于 2007-4-13 16:58:13

原帖由 EQ2 于 2007-4-13 16:53 发表
Dear Sir or Madam,

Thank you for your email to Avira's virus lab.
Tracking number: INC00030034.

We received the following archive files:

File ID Filename Size (Byte) Result ...

你还是不要研究加壳免杀了

显示全部楼层 · 发表于 2007-4-13 16:58:58

这个真的笑死偶了。。。

[病毒样本] 过红伞等的鸽子

上报给红伞的结果。。。哈哈

回复 #69 promised 的帖子