月度關注熱點

AVPClub成立威脅測試實驗室 11.25名單更新
dmserver.dll木馬
0021樣本包回覆區(請注意計算方式)
台灣樂彩官網惡意程式樣本+分析結果
最新AutoRUN,能抓到的廠商不多!
這次的精彩了,yahoo樣本一個
我的志願((超好笑,不看可惜))((另附校長評語)) 密碼(1230)
VirusTotal 沒有掃到但是可能有問題
久違的yahoo樣本
norton無故報毒

最新更新主題

No.20 Test reply - 2008年12月1日 17:44 前之樣本總測試
可疑網站
晚餐時間,大家測試看看囉...
下午茶時間,大家測試看看囉...
午餐時間,大家測試看看囉...
木馬更新中,大家測試看看囉...
早餐時間,大家測試看看囉...
網頁病毒、2個
又是System Volume Information下的毒,請君測看看
樣本一枚

有重視YAHOO樣本的廠商

發表時間: 2008-9-24 20:02    作者: 黑衣~魂    來源: AVPClub Security Home

字體: | 打印

YAHOO mail與即時通樣本流傳幾乎有好久一段時間,幾乎是同種類型,有三家廠商在偵查上有不錯的成績McAfee、Microsoft、AntiVir,其中AntiVir(TR/Crypt.XPACK.Gen)應該是報殼,同種威脅我曾看過三種差異比較大的不同類型定義名稱

老實講我在上報時有種無力感,因為有些廠商根本不重視這些樣本,但是我發現有些廠商重視了!!
Microsoft,一個樣本首先Microsoft先自動智能分析,之後來信告知轉測試性質共3次(至於轉什麼測試信件未提我也不清楚),測試後大多變種都能偵查

目前我發現AVG(PSW.OnlineGames.---)與F-Prot(W32/Onlinegames.gen),在20天以前幾乎無法查到需上報分析後才能偵查,連續上報20幾天之後,現在新免殺的YAHOO樣本多不需上報

看到這些廠商的特徵碼或其他技術上的改進,我不得說kaspersky與panda每次都要上報之後才能偵查有點不愉快,如果說因為針對性免殺來做藉口我也無話可說了,難道他們想你舉報我才定義的惡性循環?!panda分析速度甚至慢到有點誇張了...

接下來我會觀察NOD32.TrendMicro.Symantec

[ 本帖最後由 黑衣~魂 於 2008-9-24 20:28 編輯 ]

malware.zip
(2008-09-24 20:02:19, Size: 368 kB, Downloads: 15)


我也來說兩句 查看全部評論 相關評論

  • integear (2008-9-24 20:58:29)

    ESET針對Yahoo樣本的威脅特徵碼應該是:Win32/Pacex.Gen .

    Yahoo樣本幾乎都是加NSAnti殼,所以針對此類報殼就行,F-Prot跟AVG也增進了此類的報殼法則 .

    可惜OneCare沒在台灣販售,不然還蠻想買來玩看看 .

  • 黑衣~魂 (2008-9-24 21:44:05)

    QUOTE:

    原帖由 integear 於 2008-9-24 20:58 發表
    ESET針對Yahoo樣本的威脅特徵碼應該是:Win32/Pacex.Gen .

    Yahoo樣本幾乎都是加NSAnti殼,所以針對此類報殼就行,F-Prot跟AVG也增進了此類的報殼法則 .

    可惜OneCare沒在台灣販售,不然還蠻想買來玩看看 .
    F-Prot與AVG應該不是只有單純的報殼而已
    那還有dr.web也是我觀察的對象

  • megakotaro (2008-9-24 22:36:50)

    趨勢TIS2009內建啟發會報殼與基因庫
    不知道能不能偵測
    因為2008以前還沒這樣做
    要不然測測看看中國病毒碼

  • shisin (2008-9-24 22:47:44)

    Panda Internet Security 2009 With DB:2008/09/24

    啟發式 found

    Panda 最近才回信給我上報的檔案的分析結果,都已經過1個月才回給我... 真的速度愈來愈慢了。

  • 小艾 (2008-9-24 23:05:48)

    TrendMicro有開始跟yahoo信箱合作...
    樣本方面應該會有一點起色...

    雖然現在還是無法抓到的很多...

  • haol (2008-9-24 23:13:17)

    Norton found Trojan.Packed.NsAnti and Trojan.Packed.NsAnti

  • megakotaro (2008-9-24 23:21:02)

    說到卡巴斯基,大家來看:
    http://www.kaspersky.com/viruswatch3
    這是卡巴斯基的病毒監控網站
    仔細觀察中間最大塊,他會顯示latest viruses
    結果大概就是那幾隻常見的在那邊循環

  • 天氣預報 (2008-9-24 23:31:38)

    如果是以VT來看Symantec的話不一定準
    NIS 2009掃得到的(沒開高啟發)
    VT的Symantec常掃不到(版本是舊版10)
    就像上面haol的結果已經掃得到

    另外我觀察McAfee在查到卡巴、趨勢、賽門鐵克三大廠的樣本
    大多是報啟發

    [ 本帖最後由 天氣預報 於 2008-9-24 23:34 編輯 ]

  • 黑衣~魂 (2008-9-24 23:41:55)

    Trojan-GameThief.Win32.Magania這個類型的樣本,從三個字母的組合排序現在增加到四個字母...而大多都是上報後才定義的,很明顯在特徵碼偵查上非常死板

    Hello,
    look.cmd_ - Trojan-GameThief.Win32.Magania.aejj,
    look2.cmd_ - Trojan-GameThief.Win32.Magania.aejk

    New malicious software was found in these files. Detection will be
    included in the next update. Thank you for your help.Please quote all when answering.

    Best regards, Andrey Bezborodov
    Virus analyst, Kaspersky Lab.
    ---------------
    在我的觀察McAfee確實很多報啟發,Symantec在這個樣本上直接報殼Trojan.Packed.NsAnti 至於趨勢科技未查出,同類型以報殼與未查出居多

    [ 本帖最後由 黑衣~魂 於 2008-9-24 23:46 編輯 ]

  • wopti (2008-9-25 12:48:57)

    驱逐舰发现病毒
    Trojan.PWS.Gamanai.13518
查看全部評論我也來說兩句