mcafee漏杀？

显示全部楼层 · 发表于 2011-2-26 20:41:44

本帖最后由 zyx9 于 2011-2-27 09:57 编辑

样本见http://bbs.kafan.cn/thread-908235-1-9.html
xpsp3 mcafee8.5i+p8+antispyware+5400.1158+6268.0000
virustotal扫描为Exploit-CodeBase.chm，可是我的咖啡怎么就不报呢？设置应该正确。why

我说的漏杀非检出率问题，而是mcafee对已入库病毒却未检出！

应该是月神artimes的问题，8.5i是不带月神的，看了sandyyangjie的帖子也了解了。
不过为什么不报那个chm，还是很纠结。回头用8.7试试。

显示全部楼层 · 发表于 2011-2-26 20:54:38

MCAFEE对病毒侦测能力不是很突出吧

显示全部楼层 · 发表于 2011-2-26 21:00:24

[:26:]不知道触发了什么规则，不过没有被杀掉，也没有什么特殊进程。

显示全部楼层 · 发表于 2011-2-26 21:01:18

补充，是virustotal的mcafee报的Exploit-CodeBase.chm，mcafee也回复可杀。
可是我的mcafee8.5i无法检测出

显示全部楼层 · 发表于 2011-2-26 21:04:41

xjchris 发表于 2011-2-26 21:00
不知道触发了什么规则，不过没有被杀掉，也没有什么特殊进程。

好像是没进程，不过添加了一个貌似随机命名的自启动服务。
会生成一个几十MB的随机大小和随机属性的大文件，exe文件或gif文件等，估计是用来妨碍云上传查杀的

显示全部楼层 · 发表于 2011-2-26 21:06:31

[:26:]自启动服务还是进程，不过我的规则默认阻止。

显示全部楼层 · 发表于 2011-2-26 21:11:37

通过好压解压缩那个chm文档得到一个rar自解压文件systemup.exe，再解压得到三个可执行文件
help.dll
http://www.virustotal.com/file-scan/report.html?id=9f75660d5ae16aa6f0432c1c50db1d0a5da5e68a470384d3373fcb8c17e52334-1298724707
sysupdate.exe
http://www.virustotal.com/file-scan/report.html?id=339e7f57382c205e4947b549af2773654a065c2e5c03fb571ad1d05890d7f610-1298724577
TINTSETUP.exe
http://www.virustotal.com/file-scan/report.html?id=f65ef6e4d7049fa09422a474e375dec52bbbd046dd515b72e5e1b2ebc1f308f1-1298724733

其中我的mcafee8.5i可查出TINTSETUP.exe为Generic PWS.y。但另两个在virustotal上能被检出的却无法检出。
4个文件都打包上传

显示全部楼层 · 发表于 2011-2-26 21:12:15

没哟一款杀软能做到100%不漏杀的

显示全部楼层 · 发表于 2011-2-26 21:12:44

本帖最后由 zyx9 于 2011-2-26 21:15 编辑

回复 6楼 xjchris 的帖子

已经删了记得是自启动服务吧。可以自己运行chm试试，会生成一个大文件的，删除服务和system32下文件后好像没留下什么尾巴

显示全部楼层 · 发表于 2011-2-26 21:16:56

本帖最后由 zyx9 于 2011-2-26 21:20 编辑

回复 8楼 tomochan 的帖子

我说的漏杀非检出率问题，而是mcafee对已入库病毒却未检出！

[已解决] mcafee漏杀？

本帖子中包含更多资源