谁用GD，跟官方反馈一下这个样本吧

显示全部楼层 · 发表于 2017-7-8 15:22:55

本帖最后由，就一个. 于 2017-7-9 15:33 编辑

第一个你说加密的样本我放在桌面双击以后 GD主防拦截了我桌面的文档文档文件夹里面的文档均没有被加密

这是GD主防的日志
AVA 25.13275
GD 25.9951

***过程***

过程：11096
文件名：flu7.tmp.exe
路径：c：\ users \ administrator \ desktop \ flu7.tmp.exe

出版商：未知发布商
创作日期：2017年7月7日14:20:31
修改日期：2017年7月7日14:20:31

发起者：Explorer.EXE
发行商：Microsoft Windows

***动作***

病毒扫描程序检测到该文件是恶意的。
该程序文件被误导为欺骗用户（例如“Image.jpg.exe”）
该程序正在尝试创建启动项目，以便在系统启动时自动启动程序。

***隔离***

将以下文件移动到隔离区中：
C：\用户\管理员\桌面\ flu7.tmp.exe

以下注册表项已删除：

\ registry \ user \ s-1-5-21-1908538735-2356423330-182712670-500 \ software \ microsoft \ windows \ currentversion \ run || 00ffc6f26321

YHJyCSwnJycnJgYvJygnKCYGh3KCcoJiYnAqdIJCJygmBrdygnKCYmKALicnJycmBrlyspAtJwePcqJyomJicKdycnC6gtFcY6ZygtFcY6ZyYmJwjnJyCOcpJyknKSYG9ygnCgA
规则版本：5.0.147
操作系统：Windows 10.0 Service Pack 0.0 Build：14393 - 工作站64位操作系统
dll版本：68091

“C：\用户\管理员\桌面\ flu7.tmp.exe”
MD5：B0492E56E1246873173E8F7D32F8A278
C：\ WINDOWS \ EXPLORER.EXE
MD5：05181A5AC4197D6C5C02ACE6070AF234

这是反勒索的日志

检测到可疑的文件系统访问，这可能是加密木马。

因为安全原因，G DATA已中断如下进程：
----------------------------------------------------------------
C:\Windows\explorer.exe (PID 3968)
C:\Users\Administrator\AppData\Local\360Chrome\Chrome\Application\360chrome.exe (PID 352)
(PID 4748)
C:\Program Files\2345Soft\HaoZip\HaoZip.exe (PID 2996)
C:\Windows\explorer.exe (PID 3956)
C:\Program Files\2345Soft\HaoZip\HaoZip.exe (PID 4152)
D:\flu7.tmp.exe (PID 1636)
C:\Windows\SysWOW64\sc.exe (PID 5000)
(PID 1132)
----------------------------------------------------------------

阻止后，如下程序将被移入隔离区：
----------------------------------------------------------------
D:\360极速浏览器下载\flu7.tmp\flu7.tmp.exe
C:\Users\Administrator\Desktop\flu7.tmp.exe
D:\flu7.tmp.exe
----------------------------------------------------------------

检测到可疑行为：
----------------------------------------------------------------
已删除： Volume Shadow Copies
已创建： C:\Users\Administrator\AppData\Local\Temp\etilqs_lPhFDpcatHIt0ps
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_000091
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_000092
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_000093
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_000094
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_000095
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_000096
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_000097
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_000098
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_000099
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_00009a
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_00009b
已创建： D:\360极速浏览器下载\FF52.tmp
已创建： D:\360极速浏览器下载\flu7.tmp.zip:Zone.Identifier
已创建： C:\Users\Administrator\AppData\Local\Temp\360se_dcs.wav
已创建： C:\Users\Administrator\AppData\Roaming\HaoZip\HZ~618.tmp
已创建： C:\Users\Administrator\AppData\Local\Temp\~HZ6D4.tmp
已创建： C:\Users\Administrator\AppData\Local\Temp\~HZ6D5.tmp
已创建： C:\Users\Administrator\AppData\Local\Temp\etilqs_JIPRZFzosC84Jow
已创建： D:\360极速浏览器下载\flu7.tmp\flu7.tmp.exe
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\1EE4.tmp
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\Preferences~RF191f04.TMP
已创建： C:\Users\Administrator\AppData\Local\Temp\HZ~2992.tmp
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\2BB1.tmp
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Local State~RF192bb1.TMP
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_00009c
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Favicons-journal
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_00009d
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_00009e
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_00009f
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_0000a0
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_0000a1
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_0000a2
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_0000a3
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\69E9.tmp
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\Preferences~RF196a56.TMP
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_0000a4
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_0000a5
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_0000a6
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\99C0.tmp
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\Preferences~RF1999cf.TMP
已创建： C:\Users\Administrator\Desktop\flu7.tmp.exe
已创建： C:\Users\Administrator\Desktop\flu7.tmp.exe
已创建： C:\Users\Administrator\AppData\Local\Temp\HZ~A8EF.tmp
已创建： C:\Users\Administrator\AppData\Local\Temp\etilqs_sp3yiJXRurhfglr
已创建： C:\Users\Administrator\AppData\Roaming\HaoZip\RC~A94E.tmp
已创建： C:\Users\Administrator\Desktop\新建文本文档.txt
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\D00D.tmp
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\Preferences~RF19d02a.TMP
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\75EE.tmp
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Login Data-journal
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Local State~RF1a7609.TMP
已创建： C:\Users\Administrator\AppData\Local\Temp\etilqs_GZtyXPWPRjdcqPJ
已创建： C:\Users\Administrator\AppData\Local\Temp\etilqs_QJEjaOoqU7yeoLI
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\7727.tmp
已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\Preferences~RF1a7751.TMP
已创建： C:\Users\Administrator\AppData\Local\Temp\FXSAPIDebugLogFile.txt
已创建： C:\Users\Administrator\AppData\Roaming\HaoZip\HZ~9A4C.tmp
已创建： C:\Users\Administrator\AppData\Local\Temp\~HZ9AE9.tmp
已创建： C:\Users\Administrator\AppData\Local\Temp\~HZ9AEA.tmp
已创建： D:\360极速浏览器下载\flu7.tmp\flu7.tmp.exe
已创建： C:\Users\Administrator\AppData\Local\Temp\HZ~B4E0.tmp
已创建： C:\Users\Administrator\AppData\Roaming\HaoZip\RC~B52F.tmp
已创建： C:\Users\Administrator\AppData\Roaming\HaoZip\HZ~1969.tmp
已创建： C:\Users\Administrator\AppData\Roaming\HaoZip\HZ~2E51.tmp
已创建： D:\新建文本文档.txt
UNCLASSIFIED: , , ,
UNCLASSIFIED: , , ,
UNCLASSIFIED: , , ,
----------------------------------------------------------------

用户已阻止该操作。

显示全部楼层 · 发表于 2017-7-8 15:26:38

墨家小子发表于 2017-7-8 12:38
说话别这么绝对我诺顿 ESET GD都是三年key好吗
你的这种说法绝壁是有问题的，新品种出来那个不是过BD ...

我诺顿3年还不是有但我送给朋友了 GD我买的盒装版的也是三年

显示全部楼层 · 发表于 2017-7-9 16:02:11

新版的GD主防目前在智能主防里面已经处于上游水平了，比起上个版本强了太多，GD的行为监控只是作为辅助功能，目前能同时过实时监控跟行为监控的样本很少，有肯定有，但就算有并且你还能中的几率太低了。我测试过很多同时过PDM 过IDP 过DPH 过DG 过趋势主防过斗牛犬主防的样本，最后只有GD的行为监控跟BD的ATC能拦截，
比如这只是其中1个
http://bbs.kafan.cn/thread-2041954-1-1.html
最后为什么我选择GD 因为他相对于BD的ATC有回滚

还有http://bbs.kafan.cn/thread-1849858-1-1.html

也是同时过PDM 过IDP 过DPH 过DG 过趋势主防过斗牛犬主防的样本

只有GD跟BD主防可以拦截

显示全部楼层 · 发表于 2017-7-9 16:02:32

本帖最后由，就一个. 于 2017-7-9 16:19 编辑

GD 的BB能做到目前这样我觉得已经算不错了，就目前我双击各种奇葩病毒来看，个人觉得已经超过声纳跟DG了，但是跟ATD还有差距，不过不是很明显。

显示全部楼层 · 发表于 2017-7-10 10:30:13

，就一个. 发表于 2017-7-9 16:02
GD 的BB能做到目前这样我觉得已经算不错了，就目前我双击各种奇葩病毒来看，个人觉得已经超过声纳跟DG了， ...

当时神网忘记测试GD主防了，憾事啊

显示全部楼层 · 发表于 2017-7-10 13:01:36

墨家小子发表于 2017-7-10 10:30
当时神网忘记测试GD主防了，憾事啊

确实我当时用的BD....

显示全部楼层 · 发表于 2017-7-10 13:56:01

墨家小子发表于 2017-7-10 10:30
当时神网忘记测试GD主防了，憾事啊

http://bbs.kafan.cn/thread-2036137-1-1.html

你这个帖子里面的四个文件里面有三个exe文件双击BB都拦截了

AVA 25.13309
GD 25.9967

*** Prozess ***

Prozess: 7744
Dateiname: TMPBD34.exe
Pfad: d:\tmpbd34.exe

Herausgeber: Unbekannter Herausgeber
Erstelldatum: 2017年7月10日 13:51:46
Änderungsdatum: 2016年4月5日 18:58:32

Gestartet von: Explorer.EXE
Herausgeber: Microsoft Windows

*** Aktionen ***

Der Virenscanner hat festgestellt, dass die Datei schädlich ist.
Das Programm versucht zu erreichen, dass ein Programm beim Systemstart automatisch gestartet wird.
Das Programm hat eine ausführbare Datei angelegt oder manipuliert.
Das Programm hat Daten aus der eigenen Programmdatei ausgelesen.
Das Programm hat eine Kopie von sich selbst angelegt.
Eine ausführbare Datei wurde an einem verdächtigen Ort gespeichert.
Ein Autostart Eintrag verweist auf einen verdächtigen Ort.

*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
C:\Users\Administrator\AppData\Roaming\WMPRWISE.EXE
D:\TMPBD34.exe

Folgende Registry Einträge wurden gelöscht:

\registry\user\s-1-5-21-1736763866-1601622952-3993810934-500\software\microsoft\windows\currentversion\run || microsoft firewall 2.9

YHKCCiwnJycnJgYtJycnJyYGLycpJykmBqdCJyl0kmJicCsnKScpJgbocnJycmJikCsn95AtJwfbcnJycmJiwC8nJycnJgaPcpJykmJi8CknJycnJgbPcnJycmJicKdycnCocnJycmJicLhycnJyYmJwyHJycnJiYnDocnJycmJicLqSYVhjtnKSYVhjtnJiYnCOcnIP9ygnDPcpJycnJyYG9yonJycnJgboKicH6CsnJyYmJwcA
Version der Regeln: 5.0.147
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
Version der dll: 68091

"D:\TMPBD34.exe"
MD5: 778259382FD85DA44B19BE277292F39E
C:\windows\Explorer.EXE
MD5: AC4C51EB24AA95B77F705AB159189E24

AVA 25.13309
GD 25.9967

*** Prozess ***

Prozess: 2964
Dateiname: TMPBD34.exe
Pfad: c:\users\administrator\desktop\tmpbd34.exe

Herausgeber: Unbekannter Herausgeber
Erstelldatum: 2017年7月10日 13:51:00
Änderungsdatum: 2016年4月5日 18:58:32

Gestartet von: Explorer.EXE
Herausgeber: Microsoft Windows

*** Aktionen ***

Der Virenscanner hat festgestellt, dass die Datei schädlich ist.
Das Programm versucht zu erreichen, dass ein Programm beim Systemstart automatisch gestartet wird.
Das Programm hat eine ausführbare Datei angelegt oder manipuliert.
Das Programm hat Daten aus der eigenen Programmdatei ausgelesen.
Das Programm hat eine Kopie von sich selbst angelegt.
Eine ausführbare Datei wurde an einem verdächtigen Ort gespeichert.
Ein Autostart Eintrag verweist auf einen verdächtigen Ort.

*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
C:\Users\Administrator\AppData\Roaming\WMPRWISE.EXE
C:\Users\Administrator\Desktop\TMPBD34.exe

Folgende Registry Einträge wurden gelöscht:

\registry\user\s-1-5-21-1736763866-1601622952-3993810934-500\software\microsoft\windows\currentversion\run || microsoft firewall 2.9

YHKCCiwnJycnJgYtJycnJyYGLycpJykmBqdCJyl0kmJicCsnKScpJgbocnJycmJikCsn95AtJwfbcnJycmJiwC8nJycnJgaPcpJykmJi8CknJycnJgbPcnJycmJicKdycnCocnJycmJicLhycnJyYmJwyHJycnJiYnDocnJycmJicLqSYVhjtnKSYVhjtnJiYnCOcnIP9ygnDPcpJycnJyYG9yonJycnJgboKicH6CsnJyYmJwcA
Version der Regeln: 5.0.147
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
Version der dll: 68091

"C:\Users\Administrator\Desktop\TMPBD34.exe"
MD5: 778259382FD85DA44B19BE277292F39E
C:\windows\Explorer.EXE
MD5: AC4C51EB24AA95B77F705AB159189E24

AVA 25.13309
GD 25.9967

*** Prozess ***

Prozess: 1940
Dateiname: wsmprovhost.exe
Pfad: c:\users\administrator\appdata\roaming\wsmprovhost.exe

Herausgeber: Unbekannter Herausgeber
Erstelldatum: 2017年7月10日 13:49:40
Änderungsdatum: 2016年4月5日 18:46:09

Gestartet von: TMPB00D.exe
Herausgeber: Unbekannter Herausgeber

*** Aktionen ***

Der Virenscanner hat festgestellt, dass die Datei schädlich ist.
Es wurde auf einen fremden Prozess zugegriffen.
Das Programm hat Daten aus der eigenen Programmdatei ausgelesen.

*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
C:\Users\Administrator\AppData\Roaming\wsmprovhost.exe

Folgende Registry Einträge wurden gelöscht:

YHJyz/Byci8n92JicCYn93JyLyYGp0In90In92JicCsn93JyLyYGuXJyqpAuJ2diYnJyBopycmJicnKgLCcvJiYnD6xyciknl2Ji0CgnLyYmJw/eYoFyD49ygnKCYmLwKScnJycmBqcrGP01ZisnGP01ZisnJganLSeXYmJycgm3LyeXcnIpJgbHLycvJiYnD+coJ3cK5y0nKyYmJwv3KCfbgJZycgboKyfHcpJycgkA
Version der Regeln: 5.0.147
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
Version der dll: 68091

C:\Users\Administrator\AppData\Roaming\wsmprovhost.exe
MD5: 4704288C515E461CC6B5A31E52A52659
"C:\Users\Administrator\Desktop\TMPB00D.exe"
MD5: 6981409964483B4B7624C1A85F575E21

AVA 25.13309
GD 25.9967

*** Prozess ***

Prozess: 6936
Dateiname: 6854.tmp.exe
Pfad: c:\users\administrator\desktop\6854.tmp.exe

Herausgeber: Unbekannter Herausgeber
Erstelldatum: 2017年7月10日 13:49:33
Änderungsdatum: 2016年4月5日 18:46:09

Gestartet von: Explorer.EXE
Herausgeber: Microsoft Windows

*** Aktionen ***

Der Virenscanner hat festgestellt, dass die Datei schädlich ist.
Die Programmdatei ist auf irreführende Art benannt um den Benutzer zu täuschen. (z.B. 'Bild.jpg.exe')
Das Programm hat eine ausführbare Datei angelegt oder manipuliert.
Das Programm hat Daten aus der eigenen Programmdatei ausgelesen.
Das Programm hat eine Kopie von sich selbst angelegt.
Eine ausführbare Datei wurde an einem verdächtigen Ort gespeichert.

*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
C:\Users\Administrator\AppData\Roaming\wsmprovhost.exe
C:\Users\Administrator\Desktop\6854.tmp.exe

Folgende Registry Einträge wurden gelöscht:

YHKCBi0nJycnJgYvJygnKCYGh3KCcoJiYnAqdIJCJygmBrdygnKCYmKQKydnsC0nJycnJgascnJycmJiwC8nJycnJgaPcoJygmJi8CknJycnJgbPcnJycmJicKhycnJyYmJwuHJycnJiYnDocnJycmJicLqC0V9jtnKC0V9jtnJiYnCOcnIL5yknKScpJgb3KCcK9yknJycnJgboKicJ6CsnKSYmJwkA
Version der Regeln: 5.0.147
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
Version der dll: 68091

"C:\Users\Administrator\Desktop\6854.tmp.exe"
MD5: 4704288C515E461CC6B5A31E52A52659
C:\windows\Explorer.EXE
MD5: AC4C51EB24AA95B77F705AB159189E24

显示全部楼层 · 发表于 2017-7-10 19:02:51

，就一个. 发表于 2017-7-10 13:56
http://bbs.kafan.cn/thread-2036137-1-1.html

你这个帖子里面的四个文件里面有三个exe文件双击BB都 ...

我压根不担心这些exe，你看那些帖子没发现吗，ie 被控制了，搞了好多事，不清楚GD能不能像HMPA那样抑制恶意代码对IE的控制，当时就玩HIPS了，可惜

显示全部楼层 · 发表于 2017-7-10 19:04:47

，就一个. 发表于 2017-7-10 13:01
确实我当时用的BD....

你系统要是没打补丁，可以试试这里http://www.malware-traffic-analysis.net/2017/index.html
这个网站时不时的抓一些挂马网页，你可以关闭GD的实时监控测试一下主防

显示全部楼层 · 发表于 2017-7-10 20:23:25

墨家小子发表于 2017-7-10 19:04
你系统要是没打补丁，可以试试这里http://www.malware-traffic-analysis.net/2017/index.html
这个网站 ...

不知道这个是什么木马你看下
AVA 25.13310
GD 25.9968

*** Prozess ***

Prozess: 304
Dateiname: 2017-03-02-Nebula-EK-payload-DiamondFox.exe
Pfad: d:\360极速浏览器下载\2017-03-02-nebula-ek-malware-and-artifacts\2017-03-02-nebula-ek-payload-diamondfox.exe

Herausgeber: Unbekannter Herausgeber
Erstelldatum: 2017年7月10日 20:19:48
Änderungsdatum: 2017年3月3日 2:10:09

Gestartet von: 2017-03-02-Nebula-EK-payload-DiamondFox.exe
Herausgeber: Unbekannter Herausgeber

*** Aktionen ***

Der Virenscanner hat festgestellt, dass die Datei schädlich ist.
Das Programm hat eine ausführbare Datei angelegt oder manipuliert.
Das Programm hat Daten aus der eigenen Programmdatei ausgelesen.
Das Programm hat eine Kopie von sich selbst angelegt.

*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
D:\360极速浏览器下载\2017-03-02-Nebula-EK-malware-and-artifacts\2017-03-02-Nebula-EK-payload-DiamondFox.exe
D:\False\False.exe

Folgende Registry Einträge wurden gelöscht:

YHJyCi0nJycnJgYvJygnKCYGp0InKHSCYmJwKycoJygmBrly0sAvJycnJyYGj3KCcoJiYvApJycnJyYGz3JycnJiYnC6gmFfY7ZygmFfY7ZyYmJwjnJyBvcoJwoA
Version der Regeln: 5.0.148
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
Version der dll: 68091

"D:\360极速浏览器下载\2017-03-02-Nebula-EK-malware-and-artifacts\2017-03-02-Nebula-EK-payload-DiamondFox.exe"
MD5: 92D098A9F2ADB0E4C524EDD82A81C894
"D:\360极速浏览器下载\2017-03-02-Nebula-EK-malware-and-artifacts\2017-03-02-Nebula-EK-payload-DiamondFox.exe"
MD5: 92D098A9F2ADB0E4C524EDD82A81C894

[求助] 谁用GD，跟官方反馈一下这个样本吧

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源