查看: 7314|回复: 30
收起左侧

[分享] 0514的ESET对战wannacry变种

[复制链接]
B100D1E55
发表于 2017-5-17 21:50:33 | 显示全部楼层 |阅读模式
本帖最后由 B100D1E55 于 2017-5-17 22:02 编辑

嗯我也来灌一下水,跟着这个帖子测一下http://bbs.kafan.cn/thread-2089484-1-1.html EAV旧库杀新毒的能力
不知道毒具体流出来的时间,姑且用修改日期来当作初次出现的时候(应该是一个被感染的Excel文件):


和前一篇同样的设置http://bbs.kafan.cn/thread-2089297-1-1.html,首先是0505的库和RapidResponse Module。运行excel.exe毫无反应

将RapidResponse Module更新到0513,AMS有反应且成功停止恶意进程,但是文件已经被加密

将库更新到0514,右键扫描无反应,双击运行后桌面上出现勒索程序衍生物,随机ESET开始弹出30多条提示
其中大部分是杀后缀名为.wnry的衍生物(WannaCryptor.D特征杀),然后AMS检测到Excel这个程序也杀了,神奇的截图在此:

AMS启发杀,而且是少见的清毒。清毒后发现没有文件被加密,防御成功

从ESET数据库来看,WannaCryptor.C的定义是5月12日加入数据库的,比WannaCryptor.D早一点。

朋友们是不是又开始有点信心了
顺带一提,这个毒现在已经被入库为WannaCryptor.F (0516定义)



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
驭龙 + 1 版区有你更精彩: )

查看全部评分

checheng007
发表于 2017-5-17 21:56:28 | 显示全部楼层
有 我用EIS  等下一波抢购
ysj963
发表于 2017-5-17 22:04:18 | 显示全部楼层
ESET确实需要重视杀衍生物了,清理干净很重要啊。
小白什么的
发表于 2017-5-17 23:05:58 | 显示全部楼层
差点卸载去弄个卡巴了,我可是买的正版激活码呀
fireherman
发表于 2017-5-18 00:34:55 | 显示全部楼层
本帖最后由 fireherman 于 2017-5-18 00:36 编辑

ESET本来就不差嘛……

而且也(好像)印证了那个想法:报毒名后面的字母是“变种数”(26进制?a-z)
erui
发表于 2017-5-18 11:22:03 | 显示全部楼层
看情况,ESET官方必须在病毒爆发之后,以最快的速度更新病毒库才行,否则还是会出现电脑文件被加密的现象发生。
B100D1E55
 楼主| 发表于 2017-5-18 13:24:34 | 显示全部楼层
本帖最后由 B100D1E55 于 2017-5-18 13:32 编辑
erui 发表于 2017-5-18 11:22
看情况,ESET官方必须在病毒爆发之后,以最快的速度更新病毒库才行,否则还是会出现电脑文件被加密的现象发 ...

总体来看ESET的前摄性防御的确没有其他某些杀软强,这主要也是因为ESET倚重于扫描。其他那些半年前能杀的大多都是行为层面检测,还面临误报问题。从VB100等Proactive测试来看,ESET至少是扫描引擎中前摄性扫描/变种检测的佼佼者,误报控制也基本数一数二
话又说回来了,这里有一个悖论。如果一个病毒没法过杀软扫描,那么它根本没有出现在市面上的价值,因此用户碰见的那些miss或多或少都针对性处理了,这种处理到底花了多少时间我们很难看到(很大程度上体现了杀软的能力)。一般我们遇到的各种miss其实有幸存者偏差的成分在里面,而我们遇到的能查杀的案例大多也是入库后的情况,这样一来响应速度也成为评估杀软能力重要的一环
B100D1E55
 楼主| 发表于 2017-5-18 13:41:15 | 显示全部楼层
fireherman 发表于 2017-5-18 00:34
ESET本来就不差嘛……

而且也(好像)印证了那个想法:报毒名后面的字母是“变种数”(26进制?a ...

坚守ESET不动摇
ylmfhhh
发表于 2017-5-18 15:04:04 | 显示全部楼层
B100D1E55 发表于 2017-5-18 13:24
总体来看ESET的前摄性防御的确没有其他某些杀软强,这主要也是因为ESET倚重于扫描。其他那些半年前能杀的 ...

非常欣赏ESET扫描
驭龙
发表于 2017-5-18 15:20:28 | 显示全部楼层

我动摇了,做叛徒,叛逃到DrWeb家了,虽然DrWeb没有网络层防漏洞过滤功能
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 20:24 , Processed in 0.142759 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表