本帖最后由 B100D1E55 于 2017-5-26 14:39 编辑
首先是最新毒库,右键扫描剩下的:
剩下28个大多是docx或者xlsx文件(只要不允许宏就不会感染),还有一两个运行后没什么行为(可能过期可能反虚拟机),还有一两个是蜜汁脚本
接下来是娱乐测试:
用3月9日的毒库测试,首先是右键扫描,剩下105个,sad
这里我根据自动沙盘的分级把miss的分成三组:高危、中危,低危
高危:行为很多,大多是ransomware
中危:行为略多,大多是spyware之类的,也有一些内嵌恶意宏的文档
低危:一些神奇的东西,占了毒包的大部分。例如钓鱼pdf(点击后才会下载真正的恶意程序),加密的蜜汁脚本,无法正确打开的docx,xlsx,仅有http访问无后续行为的程序等等……
disclaimer:之所以说是娱乐测试是因为自动沙盘分拣不一定准确,高危和中危倒是基本可以确定(偶尔也有卸载程序会被误报),低危的应该会有不少漏网之鱼。低危中有一些可能是过期样本(有一些会检查时间,如果过期就不展现行为),客观上你要说算无害也的确是无害的……还有一些可能需要特定环境才能正确运行,宏没杀倒是说不过去……总之评级仅供娱乐参考
以下仅测试中/高危样本和部分能正常运行的低危样本,列出文件序号,括号内是检出结果。红色的是miss的,橙色的是部分防御/杀衍生物,绿色的是文档系列(我虚拟机没office就懒得测了,一般这种就是宏触发downloader或者WMI),其他是AMS检出或运行错误。
高危系列:5(cerber), 6(miss), 24(injector), 39(injector), 42(cerber), 84(cerber), 86(cerber), 105(psw)
中危系列:109(spy.weecnaw), 91 (skip, docx), 90(BAT/Small.NAN), 89(HIPS), 72 (skip, docx), 58(miss,similar to 6), 52(BAT/Small.NAN,ys), 44(Zbot), 41(Injector), 36(NanoCore), 32(Injector), 28(BAT/Small.NAN,ys), 23(skip, docx), 21(skip), 17(Injector), 15(运行错误), 13(Injector), 10(miss)
低危系列:主要挑了行为比较可疑的样本,没有闪退(有的可能反虚拟机)
102(bladabindi), 98(Zbot), 70(Kasidet), 64(Zbot), 37(neurevt), 29(Kovter), 19(Miss), 14(miss), 7(VB)
 毕竟是3月9的库,不算太差。。吧?
|
楼主: Eset小粉絲
[复制链接]
发表于 2017-5-26 12:28:53
楼主
