小仲827 wrote:
part3 http...(恕刪)
費爾也通殺...不錯不錯
所以累積殺毒數為290/297=97.64%
只花幾百元就買來的終身版,其實也是可以信任的.....
就差還沒支援64bit的OS.....
解壓縮時及解壓縮後掃瞄檔案,part 3 那包通殺,
part 2 那三包的第一包通殺,第二包和第三包就有殘存者,
於是勇敢地將殘存者執行下去,
其中第二包的 ...5010.exe, 第三包的 ...5043.exe 和 ...5071.exe
在執行時被剷除,
剩下第二包的
yahoo-lnk-201005001.vbs
yahoo-lnk-201005003.vbs
yahoo-lnk-201005004.vbs
和第三包的
yahoo-down-201005075.exe
avast 5 無法清除。
執行那些vbs檔,顯示如下訊息
那些exe執行檔顯然是製造出來的後門程式或病毒檔,
訊息有奇怪的exe檔,但是不能執行,
搜尋的確發現windows目錄下有這些不速之客檔案,
只是檔案大小都是 0 byte ...
顯然不是那些vbs沒寫好,就是真的被 avast 5 剷除了,
只是殺則殺矣,為何留屍體在windwos目錄下???
而執行那個 yahoo-down-201005075.exe,
avast 5 是不為所動,倒是舊版COMODO防火牆挺身而出,
立刻問說要不要讓那什麼 dave.bat 上網什麼的,
也不知道那什麼 dave.bat 到底藏在哪裡,
之後只要重新開機,COMODO防火牆就會問一次,
顯然這個後門程式植入成功,
avast 5 無動於衷。
-- 更新 --
病毒碼更新到2010/6/19,
不但可以偵測並刪掉 ...5075.exe,
也偵測得到那個 dave.bat,但是刪不掉,
而那3個vbs檔也還偵測不到。
dave.bat 藏在
C:\WINDOWS\system32\dllcache 裡面,
不是bat檔,而是exe執行檔,
在Registry裡登錄成一個系統service,
一開機就先執行。
檢查Registry時,又意外發現另一個
再去dllcache資料夾裡面找,真的有個 accwisf.bat 檔,
也是個執行檔,不是真的bat檔,也被載入執行中,
avast 5 一點反應都沒有,
最後兩個檔案用 Unlocker 做掉。
ywyw wrote:
前略
爬文前樓的許多測試,大多沒有測試執行檔案後的攔截,
只有Avast和江民防毒有提到,
顯然有好些防毒軟體防毒能力被低估了。
當然如果病毒沒有被執行就偵測不到,
是有比較大的機會透過郵件或copy往外傳播。
在一般使用者論壇多半不會提到這類訊息,使用者也不會感受到這功能的必要性,所以多半會出現免費版優於付費版的結論。
使用病毒包測試的結果只能證明在同一時期某家防毒搜集到的樣本數多寡,而且就只能針對這些病毒包,改天測試或者換幾個病毒包,情況又會不一樣了,所以基本上進階使用者是不會太去在意這類測試結果的。
執行檔案後的攔截有兩種,一是動態啟發、一是主動防禦,江民剛好就包含這2種功能,但純病毒包掃描根本測試不出來,根據前文某大大的江民掃描結果看來,這病毒包應該也存在一段時間了,不然結果應該是不怎麼好看才是,畢竟yahoo信箱收集的病毒包大多是針對台灣使用者,而目前台灣的江民使用者數目絕對跟多款免費防毒無法比擬,上報率低的情況下,怎麼有可能掃贏人家呢?
或許還會有人質疑nod32是付費版,也一樣掃很多啊?會這樣問的人最好先自問一下自己的nod32有沒有付錢?用第幾版的?我猜破解的2.7、3.0應該還是佔多數吧?4.0的情況也沒好到哪去~
以前的掃毒天王卡巴斯基怎麼不行了?簡單啊.....沒有可以長期使用的破解版可以用,裝機率目前真的是低到不行了,沒有了樣本收集,又不敢像小紅傘、nod32一樣採用純啟發掃描,被超越是很正常的。
至於微軟免費防毒偵測率高?只要說說幾年前發生的藉著windows update植入wga事件就好,唯一合法還有簽章的後門還有誰能比他強?只是不曉得到底上報了樣本還是金鑰、個資吼~
趨勢喔......yahoo的信件不知道是哪一家在防護的吼.....真的夠棒,在伺服器上就該砍一砍了啦~~~
內文搜尋
從 APP 打開
X