关键原理 - 系列宏病毒感染技术分析 - Laroux家族/Macro 4.0病毒/K4/及其它....

goldowl2011

Very good.Thanks a lot.

kangatang

某邮件服务器对感染病毒的实时统计（http://www.atworks.com.cn/virus/index.php?backdays=7&emailto= ）：
注意Laroux变种排名第二，还有一个新出来的宏毒Trojan.VBS.Agent.nn，似乎有点势头。
对于Mydoom变种，实在无语。

kangatang

kangatang 发表于 2012-5-4 14:33
某邮件服务器对感染病毒的实时统计（http://www.atworks.com.cn/virus/index.php?backdays=7&emailto= ）： ...

再发个统计（Trojan.VBS.Agent.nn与Laroux都是宏病毒）

kangatang

baomaboy 发表于 2012-4-9 08:05
楼上说的是对的，在老版本的excel中对应现在的模块那个叫“模块表"，我之所以称之为特殊模块1.因为这里用过 ...

求教baomaboy:
瑞星所说的Macro.Excel.Manalo.a 也是EH常说的startup病毒。瑞星怎么有这样的介绍？

"...该恶意脚本通过宏脚本传播，使用word2003时，加载宏病毒，运行宏后释放脚本%temp%\vbe\vb21.tmp，继而释放为恶意文件在系统文档目录%documents%\vb2b.tmp，并加载运行，修改excel的模块文件为StartUp.xls..."

从代码上看不出有这种行为啊。

baomaboy

我（其实几乎99%的人）得到的病毒样本和你看到的室一样的，也就是“从代码上看不出有这种行为啊。”

瑞星这样介绍也许是因为瑞星有专业的病毒监控网络拦截到startup的源头是一个word2003文件(而我们大家看到的病毒样本是下游的excel文件)
另一个原因可能是瑞星的“技术”部与“宣传”部，沟通不是很好，关于startup的传播机制是瑞星宣传部自己臆造的而不是由其技术部提供的。

kangatang

baomaboy 发表于 2012-7-13 15:00
我（其实几乎99%的人）得到的病毒样本和你看到的室一样的，也就是“从代码上看不出有这种行为啊。”

瑞星 ...

谢谢我们的baomaboy专家

kangatang

baomaboy 发表于 2012-7-13 15:00
我（其实几乎99%的人）得到的病毒样本和你看到的室一样的，也就是“从代码上看不出有这种行为啊。”

瑞星 ...

baomaboy老师，9月份刚出来一种未知宏病毒
来势想当凶猛。在卡巴和瑞星病毒周报里连续几周榜上有名，并有上升趋势。

目前只有两种杀软报毒
卡巴：Virus.MSExcel.Agent.g
瑞星：Trojan.Script.VBS.Dole.e

从名字上看，难道是k4病毒的变种？
EH论坛应该及时预警，毕竟感染对象就是我们啊。

排名截图

tanghetop

各位大侠，分析出了这个病毒的传染方式，那怎么解决呢，我不是专家，也不怎么懂数学与计算科学。

kangatang

tanghetop 发表于 2012-10-24 08:54
各位大侠，分析出了这个病毒的传染方式，那怎么解决呢，我不是专家，也不怎么懂数学与计算科学。

这个病毒的传染方式几十年前就有人知道了。只是到现在，网上对此透露很少。其实知道了感染原理，就是制作变种的基础。
我不杀毒，杀毒件baomaboy等大侠的帖子。

莫悠悠

有点意思，日后再说