支付宝钓鱼诈骗插件-“实物图jpg.exe”---NIS2011已杀

显示全部楼层 · 发表于 2011-3-9 14:05:34

ziang111 发表于 2011-3-9 05:38
不解压还是没反应

不解压不会对系统造成危害
铁壳肯定不管

显示全部楼层 · 发表于 2011-3-9 15:38:07

回复 5楼 jefffire 的帖子

唉，坐等铁壳反应吧。如果只是查杀方面还挺容易免杀吧。不知道如果是过不了sonar的，免杀难度如何？

显示全部楼层 · 发表于 2011-3-9 17:47:18

云的相应速度快啊～

显示全部楼层 · 发表于 2011-3-9 19:01:15

klinxun 发表于 2011-3-9 15:38
回复 5楼 jefffire 的帖子

唉，坐等铁壳反应吧。如果只是查杀方面还挺容易免杀吧。不知道如果是过不了sona ...

对于sonar的虚拟启发，debugman上有人说加一个壳就能过，但体积会变大，而且还要考虑别的杀软的免杀；要绕过sonar的行为分析的话估计要从木马的开发阶段入手，至少也要拿到源码。。。

显示全部楼层 · 发表于 2011-3-9 19:07:34

呵呵，sonar乏味啊………………

显示全部楼层 · 发表于 2011-3-9 19:13:42

jefffire 发表于 2011-3-9 08:58
没意义。样本已经公开，不知道多少人上报过。只要稍微免杀一下就立刻不报了。只有添加sonar规则才比较靠谱 ...

嗯，这种样本只要过了第一批人就圆满完成任务了，跟远控这种靠数量赚钱的模式完全不一样，所以上报再查杀意义不是很大，而想要第一时间防御也只有主防还有点可能性。
类似这种支付宝钓鱼木马sonar也有报过，还用的是去年的库http://bbs.kafan.cn/forum-redire ... fromuid-489037.html。个人认为关键还是铁壳对中国个人市场的态度，最怕因为这种木马在全球不普及铁壳仅仅更新了病毒静态特征，那就悲剧了。

显示全部楼层 · 发表于 2011-3-9 19:26:45

回复 14楼 wjcharles 的帖子

过启发不难，不过过行为分析就难吧……

显示全部楼层 · 发表于 2011-3-9 19:29:36

回复 16楼 wjcharles 的帖子

但愿增强对我朝的重视吧。

显示全部楼层 · 发表于 2011-3-9 21:07:38

反应速度还算可以，现在病毒库都杀了

显示全部楼层 · 发表于 2011-3-9 21:50:38

晕，mse和熊猫云现在还过。

[分享] 支付宝钓鱼诈骗插件-“实物图jpg.exe”---NIS2011已杀