Re: [推薦] 211隻病毒包 測試防毒軟體！

作者jlovet (打不贏怪兵器不好)

看板AntiVirus

標題Re: [推薦] 211隻病毒包測試防毒軟體！

時間Tue May 19 23:28:36 2009

※ 引述《xiaoyao (改變)》之銘言： : VirusTotal嗎? : 你知道上面有哪幾家是有交換樣本、病毒庫的嗎? 我不知道,那請你告訴我吧 : 所以有幾家常常報相同名稱的惡意威脅當然誤報的話 ~ 也是一起"爆" 我只知道我傳上去的不會是誤報那你可以隨便舉個誤報的例子嗎??? 我都先用小紅傘檢查如果他沒有發現,就先送給他們等小紅傘更新之後,用VT看其他家之後再一家一家送然後他們就慢慢一個一個出現在VT上面所以我不覺得這些是交換病毒造成的誤報交換樣本不會造成一樣的名字吧... 有一樣名字的那幾家...是因為某家用了其他的掃描引擎... : Kaspersky偵測不到的"台灣常見木馬"?! : 這......你知道台灣有幾大知名討論區有熱心人士時常回報樣本嗎? : VT上採用的是Kaspersky 7.0.0.125 : 你可能沒遇過Kaspersky 8.0單機版可以偵測出惡意威脅 : VT上的舊引擎卻無法偵測出的情形喔...所以我也會順便用kaspersky上面的掃看看阿... : 光就看VT準嗎? : 我好奇"台灣常見木馬"是哪些呢? : : 趨勢同樣對台灣的木馬偵測率不錯 : 囧rz~ 如果你看過討論區的樣本區 : 時常是這家"未偵測出威脅" : 且 : 某知名入口網站Web mail採用該軟體 : 木馬病毒躲過偵測時常"未偵測出威脅" 我有講過,這要看你對病毒的定義了如果你把那個 .lnk .cmd 都算做一隻病毒那沒完沒了阿 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.123.102.167

推 TypeZero:那是一隻病毒呀沒定義這叫病毒的話那防毒不就有漏洞? 05/20 00:22

→ TypeZero:所以並沒有是否把.lnk .cmd定義為病毒這種問題 05/20 00:22

→ TypeZero:因為這種副檔名屬於危險副檔名 05/20 00:23

→ y3k:我覺得原po對有害檔案的定義太鬆了很危險... 05/20 00:24

推 tungpayton:lnk檔應該不算一隻病毒要看他指向的本體 05/20 00:29

→ tungpayton:病毒本體殺掉了那空留lnk檔有何用 05/20 00:30

→ y3k:lnk可以指向有害網站...樓上會不會太傻太天真... 05/20 00:36

→ jlovet:所以我就說有些人連那個lnk指去哪裡都搞不清楚... 05/20 00:38

→ tungpayton:我是沒看過lnk指向網站的大部分都是指向cmd檔 05/20 00:38

→ jlovet:所以才會出現一個病毒包專門放滿lnk檔的 05/20 00:38

→ tungpayton:請y大教我怎麼指向網站? 05/20 00:39

→ jlovet:是可以指向rundll32 shellexec叫他去開網頁啦 05/20 00:40

→ jlovet:不過電腦突然跳出一個瀏覽器視窗不會嚇死人喔... 05/20 00:40

推 tungpayton:lnk檔要開網頁也要寫一個可執行的檔然後lnk指向那個檔 05/20 00:46

→ tungpayton:我倒是沒聽過lnk可以直接開網頁的 05/20 00:47

→ y3k:用ftp的指令不就可以了..... 05/20 00:50

推 tungpayton:要用ftp指令前 lnk也應該要指向某cmd or exe檔來執行吧 05/20 00:53

→ sillycc:這個思路真不錯..用ftp抓下html再execute 05/20 00:54

→ y3k:所以你覺得我先指向cmd然後再開ftp就不算是指向有害網站喔= = 05/20 00:55

→ tungpayton:沒啟動cmd來執行ftp lnk檔要怎樣直些執行ftp? 05/20 00:56

→ tungpayton:那防毒把執行的cmd檔殺掉了那lnk檔有用嗎? 05/20 00:57

→ y3k:cmd每個人電腦都有吧?@@ 05/20 00:57

→ y3k:你去執行打cmd看看吧.. 05/20 00:58

→ sillycc:XDD看到有趣的推文了...cmd.exe是系統檔案耶 05/20 00:58

→ tungpayton:那也要寫要執行的內容阿你光打開cmd沒打指令怎麼執行 05/20 00:58

→ y3k:嘎......=口= 05/20 00:59

→ sillycc:Orz... 05/20 01:00

→ jlovet:沒有什麼軟體會把cmd刪掉,只會把lnk刪掉...真是...嘆氣 05/20 01:01

推 TypeZero:是可以隱藏執行的不會突然跳出瀏覽器 05/20 01:02

→ wasidola:Orz... 05/20 01:03

→ y3k:=x= 到此為止吧 05/20 01:03

→ y3k:tungpayton你...去估狗一下"LNK 病毒"看一下第一篇吧 05/20 01:04

推 VictorTom:其實那種藏script點了才上網偷抓的有一點在灰色地帶.y 05/20 01:06

→ VictorTom:的確執行後被偷帶回來的才是有問題的東西, 但它是個惡 05/20 01:06

→ VictorTom:意連結; 那, 我internet斷掉的時候, 防毒軟體要怎樣判 05/20 01:06

→ VictorTom:斷這些東西有害?? 05/20 01:07

→ VictorTom:這種感覺就好像autorun.inf, 它本身不算病毒, 但惡意 05/20 01:09

→ VictorTom:程式會利用它來執行惡意程式本體. 05/20 01:09

→ VictorTom:我自己個人是傾向於, 那個有惡意的本體/網頁內容能擋 05/20 01:10

→ VictorTom:住就好; 不過這也有點挑戰使用者的膽量與運氣就是了. 05/20 01:10

→ VictorTom:誰知道執行下去到底防毒軟體擋不擋得住啊....Orz 05/20 01:11

→ VictorTom:不過, 好像幾年前就有把cmd.exe rename掉的建議了說@_@" 05/20 01:12

推 xiaoyao:看完原文與推文 XDDDD 05/20 01:15

推 tungpayton:我還是不了解沒指向某cmd檔要如何連上ftp 05/20 01:23

推 wyverns:rundll32.exe url.dll,FileProtocolHandler "ftp://a;b@x" 05/20 01:32

→ wyverns:該不會大家都開始玩lnk了吧..... XD 05/20 01:41

→ wasidola:同意t大的說法一定要有指向某cmd檔才有可能去做ftp指令 05/20 10:44

→ y3k:囧rz 就說了cmd.exe是windows灌完就有的原生"系統檔案" 和一般 05/22 15:33

→ y3k:隨身碟病毒"添加上去"的.exe根本不一樣... 05/22 15:34

→ y3k:只是有人用它擁有的ftp指令能力來做病毒植入而已不要再以為 05/22 15:36

→ y3k:這種lnk不是病毒而是什麼前導阿囧他本身就根本是病毒 05/22 16:15

→ Ornitier:個人較同意y大說法，科科，受教了~ 05/22 18:37