1   1  /  1  页   跳转

你让我相信谁?

收藏
taylor05771
头像
社区嘉宾
  • 帖子:7232
  • 注册: 2003-12-24
  • 来自:
发表于: 2009-08-28 09:30 | 只看楼主 短消息 资料
字号: 1楼

你让我相信谁?

今早上来收到一条短信

标题您发表的主题被执行管理操作
内容这是由论坛系统自动发送的通知短消息。以下您所发表的主题被 卡卡技术团队 newcenturymoon 执行 关闭主题/取消 操作。 主题: 轻轻松松过瑞星木马行为防御之四十八 发表时间: 2009-8-27 19:27:00 所在论坛: 瑞星全功能安全软件2010公测操作理由: 样本不是病毒 如果您对本管理操作有异议,请与我取得联系。





结果用瑞星扫描一下,结果如下:



所以我还是想问一句:我究竟该相信谁??

附样本

附件附件:

文件名:install.rar
下载次数:191
文件类型:application/octet-stream
文件大小:
上传时间:2009-8-28 9:30:14
描述:rar

附件附件:

文件名:88.JPG
下载次数:347
文件类型:image/pjpeg
文件大小:
上传时间:2009-8-28 9:30:14
描述:jpg
分享到:
gototop
 
浅浅星眸笑
头像
在线工程师
  • 帖子:1047
  • 注册: 2009-06-23
  • 来自:
发表于: 2009-08-28 09:32 | 短消息 资料
字号: 2楼

回复:你让我相信谁?

已收集,感谢您的支持与反馈!
gototop
 
大将风度
头像
叱咤花甲狮
  • 帖子:3535
  • 注册: 2007-02-19
  • 来自:织梦天空
论坛8周年活动礼物论坛9周年纪念冰激凌09欢乐圣诞十周年
发表于: 2009-08-28 09:34 | 短消息 资料
字号: 3楼

回复:你让我相信谁?

是我直接上传多引擎扫描下再说!
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2009-08-28 09:40 | 短消息 资料
字号: 4楼

回复:你让我相信谁?

我在那个帖子中说的很明白
这个样本 不具有威胁
但可能 “悄悄话”中 写错了说成了 “不是病毒”
如果你有“反代码”的能力 可以自己反下这个病毒
这是个残疾的病毒
举例:
一个病毒中  有a.exe b.exe
a.exe就是你给我的  a.exe是负责将b.exe复制到其他地方的
没有其他行为
b.exe是真正干活的
我没有b.exe 所以a.exe行为防御 不报是正常的

注意 你测的是行为防御 不是“特征码”!
这根本不叫过 单跑这个样本没有任何威胁  但和其他病毒配合起来 就有威胁了!
这点 想必 你应该明白吧! 相信你的”水平“!
最后编辑newcenturymoon 最后编辑于 2009-08-28 09:42:40
gototop
 
taylor05771
头像
社区嘉宾
  • 帖子:7232
  • 注册: 2003-12-24
  • 来自:
发表于: 2009-08-28 09:55 | 只看楼主 短消息 资料
字号: 5楼

回复: 你让我相信谁?



引用:
原帖由 newcenturymoon 于 2009-8-28 9:40:00 发表
我在那个帖子中说的很明白
这个样本 不具有威胁
但可能 “悄悄话”中 写错了说成了 “不是病毒”
如果你有“反代码”的能力 可以自己反下这个病毒
这是个残疾的病毒
举例:
一个病毒中  有a.exe b.exe
a.exe就是你给我的  a.exe是负责将b.exe复制到其他地方的
没有其他行为
b.exe是真正干活的
我没有b.exe 所以a.exe行为防御 不报是正常的


所以说嘛,你说的短信说不是病毒,跟帖说不具备威胁,而监控说是病毒(木马)总之一个对一个错,瑞星两部门自己商量着怎么统一吧。。。。

即便是特征查杀,对“不具备威胁”的文件进行处理,这究竟算误报还是算什么?
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2009-08-28 10:01 | 短消息 资料
字号: 6楼

回复: 你让我相信谁?

帖俩图看看

病毒的关键部分
要调用MoveFileEx重命名文件
看下面的图

返回值是0
参考MSDN
Return ValueIf the function succeeds, the return value is nonzero.
If the function fails, the return value is zero (0). To get extended error information, call GetLastError.
返回是0  证明失败

后面的WinExeC

再看返回值


Return ValueIf the function succeeds, the return value is greater than 31.
If the function fails, the return value is one of the following error values.
Return code/valueDescription
0
The system is out of memory or resources.
ERROR_BAD_FORMAT
The .exe file is invalid.
ERROR_FILE_NOT_FOUND
The specified file was not found.
ERROR_PATH_NOT_FOUND
The specified path was not found.


返回值为2  也就是
ERROR_FILE_NOT_FOUND

证明他干的活都是”徒劳“的  根本没有他要移动和执行的文件  所以这是个残废的病毒 需要那几个文件配合才有用
gototop
 
我姓张
头像
初生襁褓狮
  • 帖子:49
  • 注册: 2005-10-07
  • 来自:
发表于: 2009-08-28 10:04 | 短消息 资料
字号: 7楼

回复:你让我相信谁?

是哦,对我们菜鸟来说,最好直接告诉我们,有问题,直接选择干掉,没问题就不要报最好嘛,我们不会分析,假如没问题被我们不小心选择干掉了正常的问题,哪不很痛苦
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2009-08-28 10:06 | 短消息 资料
字号: 8楼

回复: 你让我相信谁?



引用:
原帖由 taylor05771 于 2009-8-28 9:55:00 发表
[quote] 原帖由 newcenturymoon 于 2009-8-28 9:40:00 发表
我在那个帖子中说的很明白
这个样本 不具有威胁
但可能 “悄悄话”中 写错了说成了 “不是病毒”
如果你有“反代码”的能力 可以自己反下这个病毒
这是个残疾的病毒
举例:
一个病毒中  有a.exe b.exe
a.exe就是你给我的  a.exe是负责将b.exe复


我说的 是单跑这个样本不具备威胁 我们在收到样本的时候是有和这个样本配套的其他病毒的 所以入库了
不要断章取义!
gototop
 
DoctorLc
头像
特邀体验者
  • 帖子:2994
  • 注册: 2007-06-02
  • 来自:
发表于: 2009-08-28 10:19 | 短消息 资料
字号: 9楼

回复:你让我相信谁?

咱还没到分析代码的水平
看的晕乎
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT