McAfee把某一個盜帳木馬定義為威金?

發表時間: 2008-9-13 08:57    作者: sun88990    來源: AVPClub Security Home

字體: 小 中 大 | 打印

http://vil.nai.com/vil/content/v_150054.htm
很單純的就是盜帳行為~
怎會定義成W32/HLLP.Philis
在來看這個:
http://vil.nai.com/vil/content/v_150008.htm

[ 本帖最後由 sun88990 於 2008-9-13 08:58 編輯 ]

我也來說兩句 查看全部評論 相關評論

• integear (2008-9-13 11:59:07)

  "W32/HLLP.Philis!447C3DBE"是母體,執行後會釋放"PWS-Gamania.gen.a!F681950D",另外還有釋放"eb6c4499b05f.exe",應該就是報威金的原因 .

• sun88990 (2008-9-13 15:12:21)

  可是他沒有說會感染文件阿~
  所以我才覺得幹麻不直接報PWS-Gamania.gen就好?
  --
  另外~我放的那2個網址~只是行為相似,但不是同一隻樣本,生成物!!
  
  [ 本帖最後由 sun88990 於 2008-9-13 15:14 編輯 ]

• integear (2008-9-13 15:15:43)

  QUOTE:

  原帖由 sun88990 於 2008-9-13 15:12 發表
  可是他沒有說會感染文件阿~
  所以我才覺得幹麻不直接報PWS-Gamania.gen就好?
  --
  另外~我放的那2個網址~只是行為相似,但不是同一隻樣本!!

  就Mcafee的說明,一個是母體,一個是生成物 .
  
  母體還有釋放另一個生成物,可能會感染一些其他文件,在下沒樣本可分析,不然就能知道了 .

• 黑衣~魂 (2008-9-13 19:06:25)

  QUOTE:

  原帖由 sun88990 於 2008-9-13 15:12 發表
  可是他沒有說會感染文件阿~
  所以我才覺得幹麻不直接報PWS-Gamania.gen就好?
  --
  另外~我放的那2個網址~只是行為相似,但不是同一隻樣本,生成物!!

  不見得會感染檔案才會報VIRUS吧? KAVO就是個典型例子
  文中的敘述
  This is a virus detection. Viruses are programs that self-replicate recursively, meaning that infected systems spread the virus to other systems, which then further propagate the virus. Although many viruses contain a destructive payload, it's quite common for viruses to do nothing more than spread from one system to another.
  
  Viruses are self-replicating. They are often spread by a network or by transmission to a removable medium such as a removable disk, writable CD, or USB drive. Viruses may also spread by infecting files on a network file system or a file system that is shared by another computer.
  這樣的條件就足夠報VIRUS了,老實講我一直搞不懂你的質疑是什麼...
  我跟integear想法一樣沒有樣本,還是你自己分析樣本有更好的見解?歡迎提供你的測試資料
  
  老實講從這篇文章中,我覺得你應該多了解
  http://www.avpclub.ddns.info/discuz/thread-13389-1-1.html
  
  [ 本帖最後由 黑衣~魂 於 2008-9-13 19:34 編輯 ]

• sun88990 (2008-9-13 21:20:52)

  QUOTE:

  原帖由 integear 於 2008-9-13 15:15 發表
  
  
  就Mcafee的說明,一個是母體,一個是生成物 .
  
  母體還有釋放另一個生成物,可能會感染一些其他文件,在下沒樣本可分析,不然就能知道了 .

  請問您是從哪一句話看出來的??
  我找了很久~麻煩說一下 謝謝您!!

  QUOTE:

  原帖由 黑衣~魂 於 2008-9-13 19:06 發表
  
  不見得會感染檔案才會報VIRUS吧? KAVO就是個典型例子
  文中的敘述
  This is a virus detection. Viruses are programs that self-replicate recursively, meaning that infected systems spread the virus to othe ...

  這隻也沒autorun的行為?kavo之前也被官方重新定義為PWS Trojan了~
  而且如真要報virus,直接定義為W32/Autorun.worm.gen等類似定義不就行了?
  詳情點這:http://vil.nai.com/vil/content/v_147533.htm
  
  另外,網路上相同名稱的生成物(EB6C4499B05F.exe)好像很多?
  找到一個比較相似的測試報告:
  http://www.threatexpert.com/repo ... 4-a1b3-954de8c5d338

  QUOTE:

  http://vil.nai.com/vil/content/v_147533.htm
  
  The malware also attempts to download an updated copy of itself, from the following URLs:
  
      * www.hgff46.net/[removed]/ff.exe
      * www.hgff46.net/[removed]/cc.exe
  
  無聊找到了這2隻木馬的載點~發上來給大家玩玩

  [ 本帖最後由 sun88990 於 2008-9-13 21:43 編輯 ]

  桌面.zip
  (2008-09-13 21:43:27, Size: 210 kB, Downloads: 1)

• 黑衣~魂 (2008-9-14 00:17:29)

  1.在你質疑的前提之下,你沒有提供樣本,我沒有辦法判斷你到底在說什麼
  kavo的多元,virus,trojan都有廠商報過,這沒什麼,當我舉kavo的例子只要說明這兩種不同的malware他們都具有威脅多樣性
  
  2.你現在提供的樣本,mcafee並不報威金W32/HLLP.Philis,而是報W32/Vaklik
  歸類在W32/Vaklik下的有trojan還有virus
  http://vil.nai.com/vil/content/v_149785.htm
  http://vil.nai.com/vil/content/v_149725.htm
  這部分舉報之後才會細分歸類,或者還是你說這兩個樣本報錯?
  
  重頭到尾我現在還搞不清楚這跟你說的威金W32/HLLP.Philis有什麼關係
  
  [ 本帖最後由 黑衣~魂 於 2008-9-14 00:30 編輯 ]

• sun88990 (2008-9-14 11:49:27)

  抱歉~那樣本我沒註明:
  那2之好像是某支kavo的下載物~真這帖沒啥關西!!
  
  我只是不知道為什麼沒有感染的行為就報W32/HLLP.Philis
  (McAfee分析結果裡也沒註明,只有說會寫入註冊表)
  http://vil.nai.com/vil/content/v_150054.htm
  請幫忙解答一下....
  
  [ 本帖最後由 sun88990 於 2008-9-14 11:55 編輯 ]

• integear (2008-9-14 16:03:58)

  QUOTE:

  原帖由 sun88990 於 2008-9-13 21:20 發表
  
  請問您是從哪一句話看出來的??
  我找了很久~麻煩說一下 謝謝您!!
  
  
  這隻也沒autorun的行為?kavo之前也被官方重新定義為PWS Trojan了~
  而且如真要報virus,直接定義為W32/Autorun.worm.gen等類似定義不就行了 ...

  啊,定睛一看原來兩者釋放的是同樣的DLL檔 : PWS-OnlineGames.y.dll
  
  不過,在PWS-Gamania.gen.a!F681950D的說明頁上寫:

  QUOTE:

  This is a Trojan detection. Unlike viruses, Trojans do not self-replicate.

  而W32/HLLP.Philis!447C3DBE則寫:

  QUOTE:

  Viruses are programs that self-replicate recursively, meaning that infected systems spread the virus to other systems, which then further propagate the virus.

  在下只能說,Mcafee只是做了簡單的分析,還有其他惡意行為 .
  
  否則就Mcafee自己的分析,兩者行為幾乎都是一模一樣,除了W32/HLLP.Philis!447C3DBE多了一句:

  QUOTE:

  This sample can be identified by the following symptoms.

• sun88990 (2008-9-14 17:39:06)

  QUOTE:

  原帖由 integear 於 2008-9-14 16:03 發表
  
  
  啊,定睛一看原來兩者釋放的是同樣的DLL檔 : PWS-OnlineGames.y.dll
  
  不過,在PWS-Gamania.gen.a!F681950D的說明頁上寫:
  
  
  而W32/HLLP.Philis!447C3DBE則寫:
  
  
  在下只能說,Mcafee只是做了簡單的分析 ...

  無言...原來是這樣!!
  不過既然McAfee說有其他的行為~怎不拿一個具有感染力的來測....

• integear (2008-9-14 19:22:28)

  QUOTE:

  原帖由 sun88990 於 2008-9-14 17:39 發表
  
  無言...原來是這樣!!
  不過既然McAfee說有其他的行為~怎不拿一個具有感染力的來測....

  老話一句,還是要有相關樣本 .
  
  實際執行的情況應該會不一樣,執行後可能感染其他檔案,但是Mcafee並沒有紀錄罷了 .