你還敢相信 掃毒軟體 和 Virus Total 嗎?

如果掃完都沒毒，請雙擊執行他，並且重開機

[ 本帖最後由 Roger 於 2008-6-26 08:57 編輯 ]

昨天才看到的中華吸血鬼 .

卡飯稱他們為囂張的網站 .

We received the following archive files:



File ID  Filename Size (Byte) Result
25057811  kd.zip 11.72 KB OK

A listing of files contained inside archives alongside their results can be found below:

File ID  Filename Size (Byte) Result
25057189  kd.exe  40 KB  CLEAN


Please find a detailed report concerning each individual sample below:

Filename Result
kd.exe  CLEAN

The file 'kd.exe' has been determined to be 'CLEAN'. Our analysts did not discovered any malicious content.
這到底是什麼

說過了，如果掃完都沒毒，請雙擊執行他，並且重開機

你就知道是什麼了

引用:

原帖由 Roger 於 2008-6-26 09:17 發表
說過了，如果掃完都沒毒，請雙擊執行他，並且重開機

你就知道是什麼了

不會有危險吧 .

掃毒廠商  都說  沒毒，

你認為呢

引用:

原帖由 Roger 於 2008-6-26 09:17 發表
說過了，如果掃完都沒毒，請雙擊執行他，並且重開機

你就知道是什麼了

試了之後，變這樣...


這是怎樣了?? 系統就進不去了...

這下知道 你是否 該相信你的 掃毒軟體吧

引用:

原帖由 Roger 於 2008-6-26 10:16 發表
這下知道 你是否 該相信你的 掃毒軟體吧

大大可以解釋一下嗎?? 為什麼防軟都掃不到?

被病毒作者威脅？
不想報？
懶得報？

我也不知道

貌似360安全衛士MJ0011大牛幾個月之前發表過的作品...看他的blog
如果MJ巨牛沒放bin....就是有其他人實作出來了

不過我覺得現在的病毒幾乎不願意去破壞系統正常運作,反而是希望潛伏在裡面。
你破壞電腦,都不能運作,意味著也無法繼續感染,不是嗎?!
這種技術,坦白說,似乎沒有多大的實用價值吧…

引用:

原帖由 abletw 於 2008-6-26 11:41 發表
不過我覺得現在的病毒幾乎不願意去破壞系統正常運作,反而是希望潛伏在裡面。
你破壞電腦,都不能運作,意味著也無法繼續感染,不是嗎?!
這種技術,坦白說,似乎沒有多大的實用價值吧…

實用價值這個是見人見智啦....看你用在什麼地方
不過這個威力很大就是了...散出去就...
大牛最新力作Tophet大家都在猜到底是對哪動手腳
她自己說是Uncertainty principle....這個真的太扯
她不喜歡別人轉載她的東西
有興趣的人上她BLOG看看吧...

測不準原理
太強了吧

難道Tophet是在量子維度存在的(弦論,Calabi-yau space !!!)
而並不是存在你的電腦裡

所以真蠻扯的....大牛說量子化...怎麼量子化?...怎麼觸發?...匪夷所思
又說只對硬碟手動腳...量子化後怎麼限定只在硬碟裡還不能動fw
開玩笑成分居大...應該是還不想公佈吧...

Tophet量子化後
根據機率散佈在Calabi-yau 9維空間中

當很不幸的 你的電腦隨機的碰到了Tophet出現 電腦就中毒了
但由於Uncertainty principle 所以你無法預測Tophet會出現在哪裡,下次又出現在哪裡
所以不需藉由3維空間中的媒介就可以感染你的電腦

以上純屬好玩 基於Calabi-yau space成立的狀況

虧我還學過量子力學與近代物理...

哪時候變那麼先進了呢

看來MJ0011大大不只在內核方面
連量子物理都超越了目前的科技

這是粗略的靜態分析

檔案名稱：C:\Documents and Settings\Test-Root\桌面\kd.exe
------------------------------------------------
導入表所處的節：.rdata

------------------------------------------------
導入庫：KERNEL32.dll
------------------------------------------------
OriginalFirstThunk 00005488
TimeDateStamp      00000000
ForwarderChain     00000000
FirstThunk         00005000
------------------------------------------------
導入序號  導入函數名稱
------------------------------------------------
     735  WriteFile
      27  CloseHandle
     536  ReadFile
     409  HeapAlloc
     320  GetProcessHeap
      92  DeviceIoControl
     125  ExitProcess
      52  CreateFileA
     339  GetStringTypeA
     448  LCMapStringW
     202  GetCommandLineA
     372  GetVersion
     670  TerminateProcess
     247  GetCurrentProcess
     685  UnhandledExceptionFilter
     292  GetModuleFileNameA
     178  FreeEnvironmentStringsA
     179  FreeEnvironmentStringsW
     722  WideCharToMultiByte
     262  GetEnvironmentStrings
     264  GetEnvironmentStringsW
     621  SetHandleCount
     338  GetStdHandle
     277  GetFileType
     336  GetStartupInfoA
     294  GetModuleHandleA
     265  GetEnvironmentVariableA
     373  GetVersionExA
     413  HeapDestroy
     411  HeapCreate
     703  VirtualFree
     415  HeapFree
     559  RtlUnwind
     191  GetCPInfo
     185  GetACP
     305  GetOEMCP
     699  VirtualAlloc
     418  HeapReAlloc
     318  GetProcAddress
     450  LoadLibraryA
     484  MultiByteToWideChar
     447  LCMapStringA
     342  GetStringTypeW

------------------------------------------------
導入庫：USER32.dll
------------------------------------------------
OriginalFirstThunk 00005538
TimeDateStamp      00000000
ForwarderChain     00000000
FirstThunk         000050B0
------------------------------------------------
導入序號  導入函數名稱
------------------------------------------------
     446  MessageBoxA

我在懷疑他是否偽造了導入表
不過看來跟驅動脫不了關係
可以用EQSecure的Sandbox檢查一下

分析時小心一點....貌似是會穿的