查看完整版本: 這隻我回報後回信說無毒

這隻我回報後回信說無毒

[url]http://www.avpclub.ddns.info/discuz/thread-11783-1-1.html[/url]
可以麻煩請他們重新測試嗎

[quote]原帖由 [i]天氣預報[/i] 於 2008-7-4 12:09 發表 [url=http://www.avpclub.ddns.info/discuz/redirect.php?goto=findpost&pid=98748&ptid=11959][img]http://www.avpclub.ddns.info/discuz/images/common/back.gif[/img][/url]
[url]http://www.avpclub.ddns.info/discuz/thread-11783-1-1.html[/url]
可以麻煩請他們重新測試嗎 [/quote]


已經確定這個樣本有威脅！

notes:C:\WINDOWS\Desktop\Ur\kd.zip is an infected container file of type ZIPkd.exe

會在測試之後，加入下一次病毒定義檔更新。

:) :) :)

avast 都係miss

[quote]原帖由 [i]天氣預報[/i] 於 2008-7-4 12:09 發表 [url=http://www.avpclub.ddns.info/discuz/redirect.php?goto=findpost&pid=98748&ptid=11959][img]http://www.avpclub.ddns.info/discuz/images/common/back.gif[/img][/url]
[url]http://www.avpclub.ddns.info/discuz/thread-11783-1-1.html[/url]
可以麻煩請他們重新測試嗎 [/quote]

有時候防毒軟體公司會這樣 我很有聽說過類似案例
如果用英文寫請他們重測試看看:)

[quote]原帖由 [i]t105[/i] 於 2008-7-4 14:38 發表 [url=http://www.avpclub.ddns.info/discuz/redirect.php?goto=findpost&pid=98776&ptid=11959][img]http://www.avpclub.ddns.info/discuz/images/common/back.gif[/img][/url]



已經確定這個樣本有威脅！

notes:C:\WINDOWS\Desktop\Ur\kd.zip is an infected container file of type ZIPkd.exe

會在測試之後，加入下一次病毒定義檔更新。

:) :) :) [/quote]


謝謝
因為有時會被自動分析擋掉
麻煩了

版主
這隻還是沒有報耶

[quote]原帖由 [i]天氣預報[/i] 於 2008-7-14 17:51 發表 [url=http://www.avpclub.ddns.info/discuz/redirect.php?goto=findpost&pid=100342&ptid=11959][img]http://www.avpclub.ddns.info/discuz/images/common/back.gif[/img][/url]
版主
這隻還是沒有報耶 [/quote]

這一隻樣本，賽門鐵客官方測試分析回覆暫時是不加入病毒定義檔。

理由：全球各地感染這個樣本數量很少，不會針對大多數客戶產生威脅。

      故暫時不考慮加入病毒定義檔。

:) :) :)

一般說來，如果確定有問題，但是回復沒有的話，是可以開 support case 取得技術支援，重新人工分析這個程式。

不過這麼做的前提需要有 customer id 。:o

kis2009 8.0.0.432beta馬上測到 2008/7/20 下午 09:48:27        [url]http://www.avpclub.ddns.info/discuz/attachment.php?aid=6341/kd.exe[/url]        Firefox        已被偵測到: Trojan.Win32.KillMBR.f 並記錄並警告勿下載(反應超快的!):)

應該已經沒問題了...

McAfee:
KillDisk
跟分析師反映後~很快就入庫了(可見McAfee Avert Labs Virus Analyst很重視此病毒,從來沒有上報隔天就入庫的)

回復 7# 的帖子

是機器分析還是人工分析?:quuu:
他們的技術支援中心能直接跟他們Labs連絡喔~McAfee要透過上級技術支援才有辦法連絡Labs

[quote]原帖由 [i]t105[/i] 於 2008-7-15 07:09 發表 [url=http://www.avpclub.ddns.info/discuz/redirect.php?goto=findpost&pid=100397&ptid=11959][img]http://www.avpclub.ddns.info/discuz/images/common/back.gif[/img][/url]


這一隻樣本，賽門鐵客官方測試分析回覆暫時是不加入病毒定義檔。

理由：全球各地感染這個樣本數量很少，不會針對大多數客戶產生威脅。

      故暫時不考慮加入病毒定義檔。

:) :) :) [/quote]

這什麼做事態度:@
其他牌子只要被認為是病毒都會加到定義檔去

回復 13# 的帖子

別氣。。。。:)

Scan type: 自動防護 Scan
Event: 發現風險!
Security risk detected: Trojan Horse
File: C:\TEMP\kd.exe
Location: C:\TEMP
Computer:
User:
Action taken: 暫停副作用分析 : 拒絕存取
Date found: 2008年7月21日  上午 01:17:27

檔案 kd.exe 位於 C:\WINDOWS\Desktop\檔案下載掃毒區\kd.zip 感染了 Trojan Horse 病毒。


詳細如下：


Trojan HorseRisk Level 1: Very Low


Discovered: February 19, 2004
Updated: August 15, 2007 3:51:25 PM
Also Known As: Trojan-Spy.HTML.Smitfraud.c [Kaspersky], Phish-BankFraud.eml.a [McAfee], Trj/Citifraud.A [Panda Software], generic5 [AVG]
Type: Trojan
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

Trojan Horse is a generic detection for various Trojan horse programs.

Norton Internet Security/Norton Internet Protection users
If you are using either of these Symantec firewall programs, the name that the Trojan Block rule uses to prevent the Trojan from being downloaded onto your computer is different than the name that Norton AntiVirus uses to detect the same threat, if it were actually run on your computer or received in an email.

Norton Internet Security/Norton Internet Protection will block Trojan horse from being downloaded onto your computer using the Block Rule GateCrasher.ProtectionInitial Rapid Release version pending
Latest Rapid Release version July 20, 2008 revision 007
Initial Daily Certified version pending
Latest Daily Certified version July 20, 2008 revision 006
Initial Weekly Certified release date February 19, 2004
Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Threat AssessmentWildWild Level: Low
Number of Infections: 0 - 49
Number of Sites: 0 - 2
Geographical Distribution: Low
Threat Containment: Easy
Removal: Easy
DamageDamage Level: Low
DistributionDistribution Level: Low

:) :) :)

[quote]原帖由 [i]megakotaro[/i] 於 2008-7-20 22:51 發表 [url=http://www.avpclub.ddns.info/discuz/redirect.php?goto=findpost&pid=101331&ptid=11959][img]http://www.avpclub.ddns.info/discuz/images/common/back.gif[/img][/url]


這什麼做事態度:@
其他牌子只要被認為是病毒都會加到定義檔去 [/quote]


只是暫時不放上去，定義更新。

每家防毒對病毒方式入庫有所不同。

所以賽門鐵客對病毒定義入庫，檢查比較嚴格。

事實上一隻新的病毒要進入賽門鐵客病毒定義入庫並不困難。

重點是在測試過程中會不會對全球賽門鐵客使用者造成影響。

賽門鐵客不會因為使用者一句話，就隨便測試一下就把病毒入庫。

:) :) :)

回復 15# 的帖子

t105,
    您的那封訊息，是來至於 [url]http://www.symantec.com/security_response/writeup.jsp?docid=2004-021914-2822-99[/url] 對 Trojan Horse 的 general information.

    有原始您 submit 的資料嗎？
   冒昧問一下，您是賽門鐵克員工？

回復 7# 的帖子

搞不好McAfee也是這麼想的~
這樣做應該是為了減少誤報~:)
那個general information.應該是很久以前的吧~

[quote]原帖由 [i]lnicholas.hsiao[/i] 於 2008-7-21 08:13 發表 [url=http://www.avpclub.ddns.info/discuz/redirect.php?goto=findpost&pid=101374&ptid=11959][img]http://www.avpclub.ddns.info/discuz/images/common/back.gif[/img][/url]
t105,
    您的那封訊息，是來至於 [url]http://www.symantec.com/security_response/writeup.jsp?docid=2004-021914-2822-99[/url] 對 Trojan Horse 的 general information.

    有原始您 submit 的資料嗎？
   冒昧問一 ... [/quote]


這個資料不方便公開。

之於我是不是賽門鐵克員工，這個不方便說明。

有問題的話！

請在賽門鐵克版反應。

謝謝。

:) :) :)