淘宝卖家发过来的，过红伞。高质量

显示全部楼层 · 发表于 2011-3-22 23:21:53

回复 80楼 wjcharles 的帖子

有逼真的，我收集到过一个，可惜样本没了，当时没太注意。

其实制作了你分析那个样本的作者太贪心了，或者是根本没考虑到过主防/行为分析这一层，动作那么多，还都那么大，不被各智能主防K掉才怪呢[:26:]

显示全部楼层 · 发表于 2011-3-23 00:30:21

竟然没人上报给AVAST?
。。。。。。
to AVAST

显示全部楼层 · 发表于 2011-3-23 00:45:50

回复 38楼 wjcharles 的帖子

如果只是加入病毒库会比较杯具吧。

加入sonar之后就比较好面对其他类似样本及免杀吧……

显示全部楼层 · 发表于 2011-3-23 09:04:30

也过了小A

显示全部楼层 · 发表于 2011-3-23 10:05:35

klinxun 发表于 2011-3-23 00:45
回复 38楼 wjcharles 的帖子

如果只是加入病毒库会比较杯具吧。

而且对这个样本貌似加入的是sonar动态启发那部分的特征，也就是说运行后样本没有对系统有任何修改，不用回滚就能完美查杀

这个是铁壳的命名http://www.symantec.com/security ... 2011-012506-3430-99

显示全部楼层 · 发表于 2011-3-23 10:21:03

忧郁的迷糊酱发表于 2011-3-22 23:21
回复 80楼 wjcharles 的帖子

有逼真的，我收集到过一个，可惜样本没了，当时没太注意。

唉，可能以后会发展得单从网页显示内容根本无法辨别了
其实这种样本虽然动作很多很明显，但可能跟正常程序有点相似或者跟一般病毒动作不同，对智能主防还是有一点难度的，我那帖里微点主防也是上报后才有反应的。
比如针对这个样本微点拦的只是未知网络通信，也就是说用一般的防火墙交互模式也能拦，反倒不如瑞星显得“智能”，至少它提示的是木马

显示全部楼层 · 发表于 2011-3-23 12:03:13

回复 85楼 wjcharles 的帖子

看来铁壳的入库速度是加快了。

显示全部楼层 · 发表于 2011-3-23 12:51:42

瑞星自动拦截了！

显示全部楼层 · 发表于 2011-3-23 15:26:10

回复 87楼 klinxun 的帖子

特征还是Sonar？Sonar的话，全诺顿中文论坛就那一个上报贴，不重视不行啊

显示全部楼层 · 发表于 2011-3-23 16:19:16

360网盾拦截，过可牛

[病毒样本] 淘宝卖家发过来的，过红伞。高质量