日曆
| |||||||||
| 日 | 一 | 二 | 三 | 四 | 五 | 六 | |||
| 1 | 2 | 3 | 4 | 5 | 6 | ||||
| 7 | 8 | 9 | 10 | 11 | 12 | 13 | |||
| 14 | 15 | 16 | 17 | 18 | 19 | 20 | |||
| 21 | 22 | 23 | 24 | 25 | 26 | 27 | |||
| 28 | 29 | 30 | 31 | ||||||
存檔
搜索標題
統計信息
- 訪問量: 1393
- 日誌數: 19
- 建立時間: 2007-06-08
- 更新時間: 2008-10-10
RSS訂閱
我的最新日誌
-
深入探討病毒特徵碼
2008-10-10
-
GDATA 2009 行為監控簡評
2008-9-09
引言 :
2009 由beta 1 版到目前的rc2版本改善的地方有很多, 與2008比較, 最為突出的有3項轉變
1. 界面
2. 引擎 及
3. 行為監控
而今次就是要探討的是2009的行為監控
技術 :
(由於到目前為止仍未收到GDATA的回覆, 這部份會待回覆後補回, 對此事深感抱歉
)
測試 :
為了證明行為監控的能力, 小弟搜集了不少樣本, 而這些樣本都不會被特徵碼日期為21/8/2008所偵測.
樣本一 :
行為 :QUOTE:
建立檔案
目錄 檔案 C:\Documents and Settings\使用者名稱\Local Settings\Temp\ .tt1.tmp C:\Documents and Settings\使用者名稱\Local Settings\Temp\ .tt6D.tmp C:\Documents and Settings\使用者名稱\Local Settings\Temp\ .tt1.tmp.vbs C:\Windows\System32\ blphc35dj0erc1.scr C:\Windows\System32\ lphc35dj0erc1.exe C:\Windows\System32\ phc35dj0erc1.bmp C:\Windows\System32\Restore\ MachineGuid.txt QUOTE:
建立註冊表
路徑 名稱 數值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run lphc35dj0erc1 C:\Windows\System32\lphc35dj0erc1.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier InstallID 69f3c199-439e-4507-bc0b-2407cecad524 HKEY_CURRENT_USER\Control Panel\Desktop ConvertedWallpaper C:\Windows\System32\phc35dj0erc1.bmp HKEY_CURRENT_USER\Control Panel\Desktop SCRNSAVE.EXE C:\Windows\System32\blphc35dj0erc1.scr HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System NoDispBackgroundPage 0x00000001 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System NoDispScrSavPage 0x00000001 HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen Screen Saver EulaAccepted 0x00000001 QUOTE:
修改註冊表
路徑 名稱 數值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestor DisableSR 0x00000000 HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders AppData C:\Documents and Settings\NetworkService\Application Data HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Cache C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files HKEY_CURRENT_USER\Control Panel\Colors Background 0 0 255 HKEY_CURRENT_USER\Control Panel\Desktop ScreenSaveActive 1 HKEY_CURRENT_USER\Control Panel\Desktop Wallpaper C:\Windows\System32\phc35dj0erc1.bmp HKEY_CURRENT_USER\Control Panel\Desktop WallpaperStyle 0 HKEY_CURRENT_USER\Control Panel\Desktop OriginalWallpaper C:\Windows\System32\phc35dj0erc1.bmp QUOTE:
網路連線
GDATA 的行為監控結果 :
成功偵測到 Startup 的行為
行為的詳細資料
成功把檔案移動到隔離區
樣本二 :
行為 :QUOTE:
建立檔案
目錄 檔案 C:\Windows\ 1.bat C:\Windows\Help\ B41346EFA848.dll C:\Windows\Help\ B41346EFA848.exe C:\Windows\System32\ 2.bat QUOTE:
插入處理程序
目標程式 插入的模組 C:\Windows\explorer.exe C:\Windows\Help\B41346EFA848.dll C:\Program Files\messenger\msmsgs.exe C:\Windows\Help\B41346EFA848.dll C:\Windows\System32dllhost.exe C:\Windows\Help\B41346EFA848.dll C:\Windows\dns\sdnsmain.exe C:\Windows\Help\B41346EFA848.dll C:\Program Files\internet explorer\iexplore.exe C:\Windows\Help\B41346EFA848.dll QUOTE:
GDATA 的行為監控結果 :建立註冊表
路徑 名稱
數值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32 (Default)
C:\Windows\Help\B41346EFA848.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32 ThreadingModel
Apartment HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765} (Default)
SSUUDL HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {1DBD6574-D6D0-4782-94C3-69619E719765}
無法偵測到可疑行為, 系統已感染
樣本三 :
行為 :QUOTE:
建立檔案
目錄 檔案 C:\Documents and Settings\All Users\Application Data\fyhilcnk\ nevedqfm.exe QUOTE:
建立註冊表
路徑 名稱 數值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run dvZRWdGoeW C:\Documents and Settings\All Users\Application Data\fyhilcnk\nevedqfm.exe HKEY_CURRENT_USER\Software\Uninstall dvZRWdGoeW 0x48BFA73A QUOTE:
GDATA 的行為監控結果 :開啟連接埠
應用程式 協定 連接埠 C:\Documents and Settings\All Users\Application Data\fyhilcnk\nevedqfm.exe UDP 隨機
無法偵測到可疑行為, 系統已感染
樣本四 :
行為 :QUOTE:
建立檔案
目錄 檔案 C:\Windows\System32\ j3ewro.exe C:\ autorun.inf C:\Windows\System32\ jwedsfdo0.dll C:\Windows\System32\ jwedsfdo1.dll C:\Windows\System32\ jwedsfdo2.dll QUOTE:
插入處理程序
目標程式 插入的模組 C:\Windows\explorer.exe C:\Windows\System32\jwedsfdo2.dll QUOTE:
建立註冊表
路徑 名稱 數值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run jvsoft C:\Windows\System32\j3ewro.exe QUOTE:
修改註冊表 路徑 名稱 數值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue 0x00000000 QUOTE:
GDATA 的行為監控結果 :下載檔案
URL 目標資料夾 http://www.12aas.org/xjj/cc1.rar C:\Documents and Settings\使用者名稱\Local Settings\Temp\
無法偵測到可疑行為, 系統已感染
結論 :
就這次所使用的樣本來看, 行為監控的效果似乎沒有想像中的嚴謹, 很多行為都無法攔截, 連自動執行的註冊表路徑也沒有完全監控, 看來GDATA 2009 行為監控似乎與2008的註冊表監控差不多, 可能僅是換個名稱而已.
期望 :
作為使用者, 當然希望防毒軟體更完美, 尤其在現在的趨勢來看, GDATA 不應再單靠引擎的掃瞄來提高已知或未知的威脅, 既然已經早在2007時代加入註冊表監控的功能, 可惜功能仍有待進一步的改善.
估計 :
由於這次的結果真是大失所望, 估計導致的原因有一 :
德文版GDATA 2009的行為監控僅對應德文版的Windows (可能是因為規則中的路徑都是德文...)
因此要待英文版釋出作進一步的測試 -
GDATA 2008 系列 正體中文化第一版 發佈!
2008-7-04
最近忙得很, GDATA 2008 系列 正體中文化第一版終於完成
較預定日子相差很遠, 而且只是以單純的自解壓縮檔封裝, 十分抱歉
另外, 暫定會發佈第二版, 修正所有第一版出現的問題 (包括 : 界面修正, 字詞修正...), 因此希望各位提供意見 (PM / E-Mail)
下載點 : http://www.adrive.com/public/aec ... ef5aa03ffee6b3.html
密碼的顯示方式一如以往, 請不要把密碼貼到論壇
-
GDATA 2008 系列 正體中文化預覽圖!
2008-6-03
GDATA 2008 系列 中文化預覽圖!
終於完成 GDATA 系列的中文化 (包括 GDAV, GDIS 及 GDTC)
已知重要問題 :
1. 部份詞彙未統一 (註冊表 Vs 系統登錄, 網路 Vs 網絡 等)
2. 部份日期設定無法調整
3. "備份" 的水準很低
4. ASCII 字串尚未翻譯
已不期望有人會協助完善 GDATA 系列的中文化, 小弟會把大部份圖片上傳
從下列圖片中找到任何中文化錯誤或未中文化的地方, 並依下列回覆規格反映, 將予以評分 (但重覆者將不會予以評分)CODE:
錯誤類型 :
圖片編號 :
錯誤地方 :
修正建議 :QUOTE:
例子 (1)
預覽圖 :
錯誤類型 : 中文化錯誤
圖片編號 : 圖片_11
錯誤地方 : 已刪減
修正建議 : 已刪除
例子 (2)
錯誤類型 : 顯示問題
圖片編號 : 圖片_12
錯誤地方 : 字串 "應用程式" 未能完全顯示
修正建議 : N/A
安全中心
(圖片_1)
防毒軟體
(圖片_2)
(圖片_3)
(圖片_4)
(圖片_5)
(圖片_6)
(圖片_7)
(圖片_8)
(圖片_9)
(圖片_10)
(圖片_11)
(圖片_12)
(圖片_13)
(圖片_14)
(圖片_15)
(圖片_16)
(圖片_17)
(圖片_18)
(圖片_19)
(圖片_20)
(圖片_21)
(圖片_22)
(圖片_23)
(圖片_24)
(圖片_25)
(圖片_26)
(圖片_27)
防火牆
(圖片_28)
(圖片_29)
(圖片_30)
(圖片_31)
(圖片_32)
(圖片_33)
(圖片_34)
(圖片_35)
(圖片_36)
(圖片_37)
(圖片_38)
(圖片_39)
(圖片_40)
(圖片_41)
(圖片_42)
(圖片_43)
垃圾郵件防護
(圖片_44)
(圖片_45)
(圖片_46)
(圖片_47)
(圖片_48)
(圖片_49)
(圖片_50)
(圖片_51)
網頁篩選
(圖片_52)
(圖片_53)
(圖片_54)
家長監護
(圖片_55)
(圖片_56)
(圖片_57)
(圖片_58)
(圖片_59)
(圖片_60)
(圖片_61)
微調
(圖片_62)
(圖片_63)
(圖片_64)
(圖片_65)
(圖片_66)
(圖片_67)
(圖片_68)
(圖片_69)
(圖片_70)
備份
(圖片_71)
(圖片_72)
(圖片_73)
(圖片_74)
(圖片_75)
(圖片_76)
(圖片_77)
(圖片_78)
(圖片_79)
其它
(圖片_80)
(圖片_81)
(圖片_82)
(圖片_83)
[ 本帖最後由 000110 於 2008-6-2 21:05 編輯 ] -
PEiD 分析檔案結構 (1)
2008-3-22
簡介 :
修改自解壓縮檔是黑客用來掩釋惡意程式的其中一使用方法
目前來說, 效果不錯, 可以避開大部份不含主動防護的防毒軟體 (參考 : VirusTotal 報告)
為止, 這特徵碼可以在掃瞄/執行前, 透過PEiD分析檔案是否修改過的自解壓縮檔
使用步驟 :
1. 複製底下的代碼CODE:
[RAR SFX (Sgin by 000110@AVPClub)]2. 開啟 userdb.txt 並貼上
signature = 80 3A 52 75 2D 80 7A 01 61 75 27 80 7A 02 72 75 21 80 7A 03 21 75 1B 80 7A 04 1A 75 15 80 7A 05 07 75 0F 80 7A 06 00 75 09
ep_only = false
[RAR SFX Modification -> Possible Malware (Sgin by 000110@AVPClub)]
signature = 80 3A 52 75 2D 80 7A 01 ?? 75 27 80 7A 02 ?? 75 21 80 7A 03 ?? 75 1B 80 7A 04 ?? 75 15 80 7A 05 ?? 75 0F 80 7A 06 ?? 75 09
ep_only = false
3. 已安裝xInfo外掛程式的, 可以複製底下的代碼到xInfo.txtCODE:
[RAR SFX Modification -> Possible Malware (Sgin by 000110@AVPClub)]注意事項 :
Info=Possible Malware, Usually be used by Hacker (Sgin by 000110@AVPClub)
1. 即使知道檔案是修改過的自解壓縮檔, 也不要嘗試透過WinRAR開啟檔案, 這會導致檔案執行
因不當使用這輔助檔所引致的問題, 小弟恕不負責
Ps. 有關問題 (如 : 建議, 錯誤等) 可回覆這文章或PM小弟
[ 本帖最後由 000110 於 2008-3-22 00:00 編輯 ] -
中文化教學 (2) : 常用的中文化工具介紹
2008-3-16
前言 :
在上一次的教學中, 說了中文化的背景, 還未開始進入正式的學習階段.
大家都可能很焦急, 究竟常用的中文化工具是哪幾款, 性能如何, 大家的腦內可能充滿中文化工具的樣子.
現在就開始進入教學 (2)
內容 :
開始中文化前, 當然不可缺少用來中文化的工具, 這些工具可使我們在翻譯時, 更輕鬆, 更準確.
中文化的工具有很多, 為方便大家了解中文化的工具, 我先將它們分類, 當大家中文化需要用到手上沒有的工具時, 也可以輕鬆尋找.
以勉強稱得上是業餘的人仕的我的角度, 首先會分為兩大類 - 大型中文化軟體 及 輕便中文化工具
1.) 大型中文化軟體 : 檔案大小較大, 通常要安裝, 主要用來翻譯較大型的軟體, 涉及翻譯的字串較多
2.) 輕便中文化工具 : 檔案大小較小, 通常無須安裝, 用來翻譯較細小的軟體或輔助大型中文化軟體, 涉及翻譯的字串較少
然而, 分為兩大類也是不足的, 所以再在輕便中文化工具細分三個分類
2.1) 常規資源工具 : 檢視, 修改檔案的 Unicode 資源的工具
2.2) 非常規資源工具 : 尋找, 修改檔案的 ASCII 資源的工具
2.3) 翻譯輔助工具 : 輔助工具, 內容可以很廣泛
完成分類後, 再來就是各個分類的例子及介紹
1.) 大型中文化軟體 :
Visual Localize : 專業的翻譯工具, 可製作字典檔, 用於為未來的版本中文化
Passolo : 專業的翻譯工具, 可製作字典檔, 用於為未來的版本中文化, 而且支援外掛程式, 來增強功能
2.) 輕便中文化工具 :
2.1) 常規資源工具 :
ResHack : 資源編輯工具, 這工具有很多功能, 可以幫助翻譯, 唯一缺點是部份脫殼後的檔案, 要再經修改, 才可正常編輯
eXeScope : 資源編輯工具, 可以把非 XP 樣式的界面轉換到 XP 樣式, 也是部份脫殼後的檔案, 要再經修改, 才可正常編輯
ResScope : ResTools 系列的資源編輯工具, 又是一款不錯用的工具, 功能與 ResHack 不相百, 而且沒有 ResHack 的缺點
GetVBRes : ResTools 系列的 VB 資源編輯工具, 是一款為 VB 編寫的軟體翻譯的工具
2.2) 非常規資源工具 :
CXA : 由黃權燊編寫的工具, 用來翻譯英文到中文的非字串, 當中包含了字典檔, 減輕中文化製作者的工作量
CXAT : 由黃權燊編寫的工具, 用來翻譯簡體文到正/繁體中文的非字串, 當中包含了字典檔, 減輕中文化製作者的工作量
GetStrRes : 也是 ResTools 系列的工具, 雖然說是 GetVBRes 的外掛程式, 但是可以獨立使用, 不過不建議使用這工具, 用 UltraEdit + Cxa/Cxat 代替會更好
2.3) 翻譯輔助工具 :
UltraEdit : 一款不錯多十六進制編輯器, 很多時完成翻譯, 在中文化的後期, 也要用到它來修改檔案
ResFree : 又是 ResTools 系列的工具, 把檔案的資源釋放, 常用於無法脫殼的檔案上, 但有時效果會未如理想
rva : 字串位置轉換工具, 由於非常規資源會限制字串的長度, 對於長度不足時, 就是這工具發揮功效的時候
當然, 中文化工具不只以上數款, 同種類還有很多選擇, 各位可因應個人喜好挑選覺得方面使用的工具
但如果覺得各款工具也差不多, 一樣容易上手
建議採用這個組合 :
Passolo : 翻譯大形軟體時使用
ResHack + ResScope : 翻譯軟體時使用
CXA + CXAT + UltraEdit + rva : 翻譯非常規資源時使用
ResFree : 無法脫殼時使用
希望大家找到合心的中文化工具
<<待續>>
預告 :
下次教大家這些工具的使用
標題 : 中文化教學 (3) : 中文化工具的使用
日期 : 4 月下旬 -
中文化教學 (1) : 簡單介紹甚麼是中文化
2008-3-06
-
VBA32 簡測
2008-2-25
前言 :
自從測殼結果公佈後, 對這套不是很多人使用的防毒軟體開始感到興趣,
不很出名的它卻有著難以抗拒的魅力, 有著可以成為防毒大廠的潛力
簡介 :
VBA32 全名 VirusBlokAda, 意思是"病毒攔截幫手", 是一款出產自白俄羅斯的防毒軟體
它採用以下3款技術, 以偵測已知及未知惡意程式
啟發式分析器 (Heuristic analyzer) : 偵測未知的惡意程式
動態代碼轉換處理模擬器 (Dynamic code translation processor emulator) : 處理經過繁雜加密的惡意程式
MalwareScope™ : 偵測同一系列的變種
界面 :
主畫面
設定
更新
掃瞄
監控
主畫面
檔案防護
撥號程式防護
郵件過濾
Outlook Plugin
指令碼過濾
隔離區
測試 :
偵測率測試
AVPCLUB上, 12月至1月的病毒樣本, 共1032個檔案
偵測率 : 89.24% (計算方式 : (912+9)/1032*100)
掃瞄時間 : 01 小時 29 分 45 秒
掃瞄設定 : 最大
自我防禦測試
Advanced Process Termination 4.0
結果
Simple Process Termination 1.0.0.2Suspend 1 : PASS Kill 5 : PASS Kill 11 : PASS Suspend 2 : PASS Kill 6 : PASS Kill 12 : PASS Kill 1 : PASS Kill 7 : PASS Kernel Kill 1 : PASS Kill 2 : PASS Kill 8 : PASS Kernel Kill 2 : PASS Kill 3 : PASS Kill 9 : PASS Crash 1 : PASS Kill 4 : PASS Kill 10 : PASS Crash 2 : PASS
結果
資源佔用 :Method 1 : PASS Method 7 : PASS Method 13 : PASS Method 2 : PASS Method 8 : PASS Method 14 : PASS Method 3 : PASS Method 9 : PASS Method 15 : PASS Method 4 : PASS Method 10 : PASS Method 16 : PASS Method 5 : PASS Method 11 : PASS Method 6 : PASS Method 12 : PASS
閒置
掃瞄時
優點 :
1. 解殼能力不俗
2. MalwareScope™ 技術增加了不少的偵測率
3. 支持多國語言
4. 自我防禦不俗
缺點 :
1. 最大設定下, 掃瞄時間極長
3. 沒有 HIPS
總結 :
VBA32給人的整體印象不錯, 可惜長的掃瞄時間是其致命傷
而且試用手續繁複, 導致VBA32不能普及
後感 :
由於第一次使用SPT測試, 不清楚它顯示的Test failed 是否就是代表無法終止程式
所以自我防禦測試的結果有待驗證 -
多重殼測試結果
2008-2-23
前言 :
其實這次的測試, 純粹偶然, 本身沒有想過會做這測試, 亦不想做
因為多重殼的測試準備功夫很多, 究竟是要用哪配搭做測試? 用哪種方式加多重殼? 哪個殼先加, 哪個後加? 哪幾個殼要加? 等等,都要一一考慮
但在偶然的機會下, 本身是為了研究ESET的虛疑能力, 加了數款單一殼, 到後來加多重殼, 因當中有少少的問題, 導致這個結果出現
由於多種因素都沒有考慮, 結果的準確性有待驗證
測試形式 :
加多重殼後, 測試可行性, 上傳到VirusTotal掃瞄
加殼方式 :
- ntdlr.com -> 原始檔案
- ntdlr.exe -> 1) KByS 2) FSG
- 複製 -aspack -ntdlr.com.out -> 1) ASPack 2) NSPack 3) NakedPack
- 複製 -複製 -aspack -ntdlr.com.out -> 1) ASPack 2) NSPack 3) NakedPack 4) FreeRes + Yoda
測試結果 :
- http://www.virustotal.com/analis ... 8fb508f052a839d91ae
- http://www.virustotal.com/analis ... 834edf7ba909cc1030e
- http://www.virustotal.com/analis ... 4e0876172709be8e38e
- http://www.virustotal.com/analis ... 4e0876172709be8e38e
測試排名 (首2名) :
計算方式為, 與原始檔報同一樣的名稱
- BitDefender / (NOD32v2*2)
(3/3)
- Ewido / VBA32
(2/3)
防毒軟體名稱成績*1
其他的都不排名了, 因為只掃到1個, 而且數量眾多, 沒有意思
註 :
*1 : 只考慮加了殼的3個樣本
*2 : 大家會問, NOD32v2 報啟發, 對其他防毒軟體不公平
的而且確大家可能會因此覺得這測試好像是偏袒NOD32v2, 但其實NOD32v2 的啟發式與傳統的特徵碼掃瞄很相似, 只要加了不認識的殼, 就無法偵測, 詳細可參考這篇http://www.avpclub.ddns.info/dis ... 73182&ptid=8577
當然亦不排除NOD32v2對某些加殼樣本是啟發式偵測的, 更詳細的結果, 要待入庫後才知道, 因此有括號()
樣本也公佈了, 希望各位不要用來害人, 亦要小心檔案
因為, 檔案的圖示容易使其他人執行
如因這些樣本導致的任何問題, 本人恕不負責
[ 本帖最後由 000110 於 2008-2-23 22:36 編輯 ]
Sample.rar
(2008-02-23 22:33:41, Size: 143 kB, Downloads: 1) -
Eset 報 a variant of XXX 解說?
2008-2-15
本來打算寫一篇防毒軟體報啟發式的名稱, 但花了很多時間也只完成了數款防毒軟體
所以就擱置了, 反而對Eset報啟發式的名稱有興趣
看到 variant 這個字, 大概可以想到"變種"
但是到底"變種"會是特徵碼依據的還是啟發式?
事實上, Eset 報 variant 既是特徵碼依據又是啟發式
以目前手上的樣本來分析, 仍然很難可以介定哪些報的名稱是特徵碼依據, 哪些報的名稱是啟發式
但就目前來說, 大體上(80%可靠)
特徵碼依據 : 類別名
啟發式 : 包含子分類
例如 :
- probably a variant of Win32/TrojanDownloader.Delf trojan
底線間的是類別名, 所以這次報的"變種"是特徵碼依據
- probably a variant of HTML/Exploit.Agent trojan
底線間的是類別名, 所以這次報的"變種"是特徵碼依據
- probably a variant of Win32/PSW.OnLineGames trojan
底線間的是類別名, 所以這次報的"變種"是特徵碼依據
- probably a variant of Win32/PSW.Agent.NDP trojan
底線間的照樣是類別名, 但斜體字是子分類, 所以這次報的"變種"是啟發式
- a variant of Win32/PSW.OnLineGames.NFN trojan
底線間的照樣是類別名, 但斜體字是子分類, 所以這次報的"變種"是啟發式
- probably a variant of Win32/PSW.OnLineGames.NEP trojan
底線間的照樣是類別名, 但斜體字是子分類, 所以這次報的"變種"是啟發式
但是由於只有80%可靠, 所以會有例外
- a variant of Win32/Jalous worm
底線間的是類別名, 但是這次報的"變種"是啟發式
- probably a variant of Win32/Genetik trojan
底線間的是類別名, 但是這次報的"變種"都是啟發式
總結而言,
特徵碼依據的範圍較大
啟發式的範圍會更仔細
可能這些資料對長期使用Eset的人來說, 不是新鮮事
但也希望給予補充
- probably a variant of Win32/TrojanDownloader.Delf trojan