Board logo

标题: 骗过卡巴微点反病毒的双态文件 微点扫描引擎能否更新识别 [打印本页]
作者: 点饭的百度空间     时间: 2009-8-7 09:36    标题: 骗过卡巴微点反病毒的双态文件 微点扫描引擎能否更新识别



微点论坛或百度空间都可以成功上传此类文件 审查无效!IE浏览器无法成功浏览这张“截图”

当它是图片的时候,任何一款杀软都查不出毒 期待微点的扫描引擎能更新识别出此类文件!

截图就是样本 不过第一张被超版编辑剪掉了~



卡巴也一样 图不截了

瑞星就更不用说了


反病毒引擎 版本 最后更新 扫描结果
http://www.virustotal.com/zh-cn/ ... 085449e6-1249607924
a-squared 4.5.0.24 2009.08.07 -
AhnLab-V3 5.0.0.2 2009.08.06 -
AntiVir 7.9.0.240 2009.08.06 -
Antiy-AVL 2.0.3.7 2009.08.05 -
Authentium 5.1.2.4 2009.08.06 W32/Hupigon.AFD
Avast 4.8.1335.0 2009.08.06 Win32:Hupigon-EA
AVG 8.5.0.406 2009.08.06 -
BitDefender 7.2 2009.08.07 -
CAT-QuickHeal 10.00 2009.08.06 -
ClamAV 0.94.1 2009.08.06 -
Comodo 1891 2009.08.07 -
DrWeb 5.0.0.12182 2009.08.07 -
eSafe 7.0.17.0 2009.08.06 -
eTrust-Vet 31.6.6662 2009.08.06 -
F-Prot 4.4.4.56 2009.08.06 W32/Hupigon.AFD
F-Secure 8.0.14470.0 2009.08.07 Backdoor:W32/Hupigon.NMV
Fortinet 3.120.0.0 2009.08.06 -
GData 19 2009.08.07 Win32:Hupigon-EA  
Ikarus T3.1.1.64.0 2009.08.07 -
Jiangmin 11.0.800 2009.08.06 -
K7AntiVirus 7.10.812 2009.08.06 -
Kaspersky 7.0.0.125 2009.08.07 -
McAfee 5700 2009.08.06 -
McAfee+Artemis 5700 2009.08.06 -
McAfee-GW-Edition 6.8.5 2009.08.06 -
Microsoft 1.4903 2009.08.06 -
NOD32 4313 2009.08.06 -
Norman 6.01.09 2009.08.06 -
nProtect 2009.1.8.0 2009.08.06 -
Panda 10.0.0.14 2009.08.06 -
PCTools 4.4.2.0 2009.08.06 -
Prevx 3.0 2009.08.07 -
Rising 21.41.34.00 2009.08.06 -
Sophos 4.44.0 2009.08.06 -
Sunbelt 3.2.1858.2 2009.08.06 -
Symantec 1.4.4.12 2009.08.07 -
TheHacker 6.3.4.3.377 2009.08.05 -
TrendMicro 8.950.0.1094 2009.08.06 -
VBA32 3.12.10.9 2009.08.06 -
ViRobot 2009.8.6.1871 2009.08.06 -
VirusBuster 4.6.5.0 2009.08.06 -

附加信息
File size: 347185 bytes
MD5...: 7a85b4327d9b788f8a37d98bfae37720
SHA1..: a7fab30d2e216f6eb596e6574a530ccf59308538

[ Last edited by 点饭的百度空间 on 2009-8-7 at 16:21 ]
作者: Legend     时间: 2009-8-7 09:39
请楼主将样本你发送至:virus@micropoint.com.cn 我们具体测试下!
作者: 点饭的百度空间     时间: 2009-8-7 09:43
样本就是上面第一章截图~ 这玩意能通过百度空间或微点论坛的图片上传
作者: HomeSGerMine     时间: 2009-8-7 12:58
关注一下
作者: jaber     时间: 2009-8-7 13:19
这个图片是经过特殊处理而且自身存在较大的Bug,采用压缩的方式将病毒文件和图片文件一起打包,可惜的是浏览图片的时候并未激活病毒文件,而单独运行病毒文件的时候,微点是可以正常报警的,楼主也给出了报警截图,所以微点是可以拦截的。

这种方式或许会成为新一轮的病毒传播。。。
作者: 点饭的百度空间     时间: 2009-8-7 16:20
合并一个图片和一个RAR文件并生成一个“双态文件”

貌似没有其他杀毒扫描引擎能够识别出 就看微点的扫描引擎了
作者: softfans     时间: 2009-8-11 20:25
这是个啥东东啊这么神秘
作者: 微点卫士     时间: 2009-8-11 23:29
关注。。。:lol:
支持点饭的百度空间:P



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn