360云特征引擎还是没改好

显示全部楼层 · 发表于 2017-5-13 21:31:14

新浪微博反馈过，后来好像拿去修改了，暂时没有了这个引擎，前两天专门用360安全卫士扫描精睿样本测试的，云QVM的都是云引擎！
刚发现一个防护报的云QVM样本，关闭360杀毒防护，隔离沙箱里恢复，扫描不报，我想是不是云特征引擎又回来了，用360安全卫士扫描，果然又回来了！可是BUG还是没有修好！不知道是不是需要等到360杀毒更新版本号！~

附件样本是.dll的，应该不会中毒吧！

360杀毒扫描日志

病毒库版本：2017-05-13 11:08
扫描时间：2017-05-13 21:24:17
扫描用时：00:00:01
扫描类型：右键扫描
扫描文件总数：2
项目总数：0
清除项目数：0

扫描选项
----------------------
扫描所有文件：是
扫描压缩包：是
发现病毒处理方式：由用户选择处理
扫描磁盘引导区：是
扫描 Rootkit：是
使用云查杀引擎：是
使用QVM人工智能引擎：是
扫描建议修复项：否
常规引擎设置：Avira(小红伞)

扫描内容
----------------------
C:\Documents and Settings\Administrator\桌面\winprint（云特征引擎）.rar

白名单设置
----------------------

扫描结果
======================
未发现威胁文件

系统防护已经被关闭！要不然，防护该杀掉了，也就是没办法扫描测试了！

还有一个样本
2017-05-13 21:12:41 恶意软件(HEUR/QVM41.2.1D98.Malware.Gen)MD5:82fd8635ff349f2f0d8d42c27d18bcb7已删除此文件，如果您发现误删，可从隔离区恢复此文件。 c:\360sandbox\shadow\documents and settings\administrator\桌面\111\111.exe
2017-05-13 21:12:34 恶意软件(HEUR/QVM41.2.1D98.Malware.Gen)MD5:82fd8635ff349f2f0d8d42c27d18bcb7已删除此文件，如果您发现误删，可从隔离区恢复此文件。 c:\360sandbox\shadow\documents and settings\administrator\local settings\temp\360zip$temp\360$0\111.exe

这个样本是来自卡饭病毒样本区
http://bbs.kafan.cn/thread-2088985-1-1.html
@360主动防御

显示全部楼层 · 发表于 2017-5-14 10:11:39

感谢反馈，我先看下

显示全部楼层 · 发表于 2017-5-15 19:45:58

360主动防御发表于 2017-5-14 10:11
感谢反馈，我先看下

卫士的云特征引擎确实有问题，之前反馈过引擎自动关闭的问题，工作人员远程后给我的卫士换了个360SafeChecker.dll，问题解决。但很快又出现了新的问题，有次我无意把这个dll扔进样本文件夹里，用卫士扫出几个病毒，都是云特征引擎报的，然后把该dll从文件夹里挪出来，再次扫描文件夹里的病毒，居然一个也不报

显示全部楼层 · 发表于 2017-6-5 21:25:30

360主动防御发表于 2017-5-14 10:11
感谢反馈，我先看下

请问，找到问题原因了吗？

显示全部楼层 · 发表于 2017-6-6 10:31:46

沧桑浪子发表于 2017-6-5 21:25
请问，找到问题原因了吗？

这个问题在5月19日的版本已经修复

显示全部楼层 · 发表于 2017-6-6 19:55:56

本帖最后由沧桑浪子于 2017-6-6 20:06 编辑

360主动防御发表于 2017-6-6 10:31
这个问题在5月19日的版本已经修复

5.19的版本指的是360安全卫士还是360杀毒啊？ winprint（云特征引擎）.rar 这个文件后来卫士扫描，360杀毒扫描，防护都是安全，刚开启网购保镖后下载，只是未知文件，安全浏览器下载项里也是灰色未知！
我想着云特征引擎应该是拿去修改了！
就在刚才下载了6.2的精睿样本，关闭360杀毒防护，使用360安全卫士扫描，里面的云QVM也都是云安全引擎，没有了云特征引擎！

显示全部楼层 · 发表于 2017-6-8 14:07:37

沧桑浪子发表于 2017-6-6 19:55
5.19的版本指的是360安全卫士还是360杀毒啊？ winprint（云特征引擎）.rar 这个文件后来卫士扫描，360杀 ...

指的卫士，不过这文件是个被利用的loader，本身没有恶意行为，报毒的应该是被加载的SynTPHelpersView.exe

显示全部楼层 · 发表于 2017-6-9 20:40:11

360主动防御发表于 2017-6-6 10:31
这个问题在5月19日的版本已经修复

360云特征引擎又回来了
但是，我说的问题还是老毛病，360安全卫士扫描出来的这种引擎的文件，360杀毒防护正常，360杀毒不管是扫描压缩包还是.exe本身，都扫描不出病毒来！

图中这个安全并不是因为防护已经把它杀掉了，而出现的扫描安全！关闭360杀毒防护测试过，扫描压缩包也测试过！
这次这个样本是

当然，和样本无关！
不过不知道是不是和我的系统 Windows XP有关系
@360主动防御

显示全部楼层 · 发表于 2017-6-9 22:21:53

本帖最后由沧桑浪子于 2017-6-9 22:46 编辑

360主动防御发表于 2017-6-6 10:31
这个问题在5月19日的版本已经修复

我大概知道5.19解决的方法了
刚用病毒样本区2017.6.9精睿样本测试http://bbs.kafan.cn/thread-2092635-1-1.html
360安全卫士右键首次扫描或者第二次扫描好像也是，发现有部分是云特征引擎，但是扫描两次就会发现变成了云安全引擎因为，开始是关闭360杀毒防护，扫描处理后剩余的，360安全卫士右键扫描，这时也能扫描出来的几个就是云特征引擎
但是后来清空，重新解压，同样的方法，360杀毒扫描后，360安全卫士右键扫描，就只剩一个013.vir，根据目测报毒文件名之前好像是云特征引擎的都变成了云安全引擎，不过开始同样的报毒名称或者类似的报毒名称，20.1.B581，03.0.B581，05.1.B581，18.1.B581后面是B581的，有的是云安全引擎，有的是云特征引擎，甚至前面也一样的，也是分云安全和云特征（只是目测，没有纪录和分析）
另外，013.vir报毒名称是
HEUR/QVM18.1.B5C4.Malware.Gen
然后楼上说的那个样本

晨曦LOL无限视距.exe : HEUR/QVM11.1.B5C4.Malware.Gen
扫描引擎:云特征引擎
位置:C:\Documents and Settings\Administrator\桌面\晨曦LOL无限视距.zip
处理建议:隔离文件

取其相同点是，HEUR/QVMXX.1.B5C4或者应该是HEUR/QVMXX.X.B5C4，也就是说，HEUR/QVMXX.X.B5C4的不能转换成云安全引擎，而360杀毒右键扫描360安全卫士的云特征引擎，并不报毒的BUG依然存在，是不是这个理儿？@360主动防御另外不知道360杀毒第一次扫描的上传有没有关系，不过我想应该关系不大

可疑文件上传结果
----------------------
c:\documents and settings\administrator\桌面\2017.6.9\002.vir 上传成功
c:\documents and settings\administrator\桌面\2017.6.9\007.vir 上传成功
c:\documents and settings\administrator\桌面\2017.6.9\018.vir 上传成功
c:\documents and settings\administrator\桌面\2017.6.9\021.vir 上传成功
c:\documents and settings\administrator\桌面\2017.6.9\034.vir 上传成功
c:\documents and settings\administrator\桌面\2017.6.9\052.vir 上传成功
c:\documents and settings\administrator\桌面\2017.6.9\068.vir 上传成功
c:\documents and settings\administrator\桌面\2017.6.9\075.vir 上传成功
c:\documents and settings\administrator\桌面\2017.6.9\082.vir 上传成功
c:\documents and settings\administrator\桌面\2017.6.9\092.vir 上传成功
c:\documents and settings\administrator\桌面\2017.6.9\113.vir 上传成功

另外5.19的卫士更新是更新了，云特征引擎向云安全引擎转换的更新！
如果说，360杀毒云端没有这个云特征引擎，但是防护却可以报
不知道这个云特征引擎是不是新一代的云QVM
另外，不知道360杀毒的更新到底遇到了什么情况，在准备着放7.0的大招？现在360压缩的更新都醒来了！-----------------------------------------
编辑

这个2017.6.9精睿样本里还有一个问题，开始以为044.vir 360杀毒需要扫描两次才能扫描出来，重新解压用360安全卫士扫描发现044.vir第一遍就能扫描出来，查看卫士的介绍里处理建议是修复文件，这才明白是修复，360杀毒第二次扫描出来的情况是修复后的文件，或许是没有没有修复干净！
下面是360杀毒的情况结果

类型：
Virus.Win32.Parite.H

描述：
通过感染系统内的各种文件进行传播，具有隐蔽性强、感染和破坏力大、自身不断变换更新等特点。

扫描引擎：
360云查杀引擎

文件路径：
C:\Documents and Settings\Administrator\桌面\201769\044.vir

文件指纹(MD5)：
ca330be9fd6b8c206efb146d6b2545a2

----------------------------------------------------------
修复后扫描
类型：
感染型病毒(Win32/Trojan.0b8)

描述：
感染型病毒(Win32/Trojan.0b8)

扫描引擎：
360云查杀引擎

文件路径：
C:\Documents and Settings\Administrator\桌面\201769\044.vir

文件指纹(MD5)：
083f60ad8006eff576939385fe5bd8bd

第一次处理后，文件还在，第二次，文件被删除隔离

显示全部楼层 · 发表于 2017-6-10 13:12:34

卫士的云特征引擎和QEX引擎都不太稳定。扫描较多样本后，隔一段时间再扫相同的样本，会出现样本报毒数时多时少的问题。这个问题好像出现了很久，却一直没有改过来@360主动防御

[砖头] 360云特征引擎还是没改好

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源