【問題】KAV/KIS 6.0.0.303 抓不到巴克雷病毒

[haol]

引用:

作者: esjustin

誇大不實....因為該人沒有標明是多久之前,哪個版本,所以根本無從判斷,不過基本上可以判斷的是,這是因為他先裝舊的6.0版,再裝新的6.0測試版,當中一定有時間差,否則像巴克雷這種木馬,應該在標準資料庫裡就有收入的...

如果在6.0版上,將威脅資料庫的偵測範圍全部勾選,當然有差約1萬隻的威脅,不過標準威脅資料庫已經附帶有了木馬/病毒/蠕蟲,這些基本的定義碼,擴展資料庫加的只是比較不構成威脅的定義碼,不過個人還是建議用擴展資料庫...

.........
有句話"沒看到的並不代表不存在"
update 10/06 2006


real變成中國製> <連小綠人也變了
（目前avg能辨識其變種其他就....）
中此變種了之後程式都變肥了

[haol]

很簡單的道理^ ^
病毒庫沒收集到就miss.....用什麼版本都一樣.
目前還是有卡巴沒收集到的變種= = （送個小綠人給卡巴）
另外試mcafee、norton出的解毒程式能偵測到的版本也太少了（對小綠人miss），新變種還在增加?!

題外話趨勢新版引擎偵測變種很強，一些變種巴克雷樣本偵測為PE_LOOKED.GEN
其他木馬PE_Generic
Possible_Lineage
TROJ_Generic
TSPY_Generic
啟發式，確實有改善了但病毒庫還是不夠大（只抓到零星）

[haol]

今天抓到了!
只能刪除?

[esjustin]

引用:

作者: haol

今天抓到了!
只能刪除?

想解毒,找Panda

[tulipa]

引用:

作者: esjustin

想解毒,找Panda

esjustin 小天才 的建議中肯喔，很好好

[ㄚ一]

其實這類病毒可以在虛擬機下測試
病毒庫裡沒有,還看看proactive defense有沒有辦法發現
玩防毒軟體,我覺得虛擬機算是很基本的配備

[kaspersky]

引用:

作者: haol

今天抓到了!
只能刪除?

這個命名就表示卡巴斯基尚未將其歸類 先就其行為模式更新至病毒資料庫作第一步的攔截
卡巴斯基的作法 通常會先以行為分類命名 更新至防毒資料庫 先做刪除攔截的動作, 之後再將其分析編類 再發展解毒的病毒碼更新到防毒資料庫中

如果您卡巴斯基玩的夠久的話 應該會發現同樣的一個病毒檔案 名稱會改變
就是因為這個原因


方便的話,

請您將此檔案以 "virus" 加密壓縮傳到 [email protected]

並標示此為 巴克雷 感染檔案 我們會將其送給病毒分析室 請他們優先製作可解毒的防毒病毒碼

之前我們這邊所得到的樣本 目前都已經可以解毒

[ㄚ一]

請問 kaspersky 大哥

Kaspersky總部最近是不是發生了什麼事?
我現在病毒上報幾乎不會收到回信
除非我在信中要求給我回覆才看得到回信
不過處裡的效率比起以前慢了好多
以前我現在上報過一兩個鐘頭就會收到回覆
現在常常要過個一兩天以後才有回覆

另外寄樣本給你們,你們也是回傳到總部進行分析嗎?
分析回來會回覆嗎?

[kaspersky]

引用:

Kaspersky總部最近是不是發生了什麼事?
我現在病毒上報幾乎不會收到回信
除非我在信中要求給我回覆才看得到回信
不過處裡的效率比起以前慢了好多
以前我現在上報過一兩個鐘頭就會收到回覆
現在常常要過個一兩天以後才有回覆

另外寄樣本給你們,你們也是回傳到總部進行分析嗎?
分析回來會回覆嗎?

若是利用伺服器自動分析出來的病毒 一般來說就不會特別回應 ( 約 80% 為自動分析 )
若是 20% 的利用人工所分析出來的 就會對於前幾個請求分析的信件進行回覆
就像您所說的 若您希望得到回覆 請務必附注在信件中

我們這邊到上星期所要求分析的回應都還正常 並無拖延到一天以上的狀況

試試看 將檔案以壓縮並加上密碼 "infected" 並將密碼註明於信件中 這樣應該會較快

我們這邊的方式 也是一樣 必須將樣本回傳分析

這是因為多數的使用者並不會寫英文 所以我們幫他們代轉

上回尤金 倒是開了個玩笑 越是冬天 他們的回應就會越快
因為莫斯科的冬天實在太冷了 沒有人要出去溜達 所以就會比較專心在工作上

[zac2306]

引用:

作者: kaspersky

這個命名就表示卡巴斯基尚未將其歸類 先就其行為模式更新至病毒資料庫作第一步的攔截
卡巴斯基的作法 通常會先以行為分類命名 更新至防毒資料庫 先做刪除攔截的動作, 之後再將其分析編類 再發展解毒的病毒碼更新到防毒資料庫中

如果您卡巴斯基玩的夠久的話 應該會發現同樣的一個病毒檔案 名稱會改變
就是因為這個原因

真的耶！難怪我之前發現，同一個木馬，怎麼第一天跟後兩天名稱改變了！