网购木马（二 五）

guidanba

一万个理由 发表于 2012-4-13 12:34
微点主动防御软件报毒

若是扫描报毒，那很是没有意思。因为早有人上报了。

_8023

AVGMISS

英九

扫描报告

2012年4月13日星期五 12:39:06 - 12:39:09

计算机名称: 20120321-1707
扫描类型: 扫描指定目标
目标: C:\Documents and Settings\Administrator\桌面\RsGuiLib.dll

结果: 发现 1 个恶意软件

Suspicious:W32/Malware.cd01e2!Online (病毒)
C:\Documents and Settings\Administrator\桌面\RsGuiLib.dll 操作： 已隔离

yjwfdc

sanhu35 发表于 2012-4-12 22:46
那也应该可以算是行为分析的一种吧。

不属于行为防御，因为没有任何行为，和文件名查杀一样，属于环境查杀。

绅博周幸

guidanba 发表于 2012-4-12 16:41
http://www.douban.com/note/209146655/，

360BackupUI，360现在还没处理好吗？？怎么前天还有受 ...

Thank you for your email.

The analysis of the files has been completed with the following results:

We didn't find any malicious code in these files.

Please do not hesitate to send us even more suspect/infected files in the
future.

Have a nice day.

Best regards,
George Poienaru
Bitdefender Technical Support Engineer

尘梦幽然

LockeHIPS 发表于 2012-4-12 22:43 QVM xxx是云QVM或本地QVM，人工智能启发式文件扫描引擎 trojan.generic有时候也会是拉黑的，但很多时候 ...

QVM充其量是利用向量对比的"高等特征码引擎"罢了，哪有什么启发式…数学模型完全需要根据新出现的木马进行实时更新否则时间稍长检测率就吃力。

尘梦幽然

英九 发表于 2012-4-13 12:39 扫描报告 2012年4月13日星期五 12:39:06 - 12:39:09

诺顿还是？

星野初

to mse。。。
这系列质量真高。。

LockeHIPS

5234377 发表于 2012-4-14 22:44
QVM充其量是利用向量对比的"高等特征码引擎"罢了，哪有什么启发式…数学模型完全需要根据新出现的木马进行 ...

人工智能向量机已经比传统杀软的全靠人工事后总结的“启发式”高等太多了吧。。

启发式是一个广义的说法，多学习你就明白了，实时更新真不需要。

尘梦幽然

LockeHIPS 发表于 2012-4-14 23:38
人工智能向量机已经比传统杀软的全靠人工事后总结的“启发式”高等太多了吧。。

启发式是一个广义的 ...

但是它和传统启发式是几乎沾不着边的。看看360区对QVM的解释就知道了，与传统启发式完全不一样。充其量是高等的特征码引擎-不过它用的是向量对比，数学模型总结。所以，对于普通的过表面什么的效果非常好。我在卡饭首页的文章也提到过，互联网上70%以上的“新”病毒都是根据原有的源代码进行简单加工和伪装出现的，其程序逻辑没有大的变化，所以QVM根据其数学模型进行向量对比的离线检测率也能达到60%-70%，普通的启发式，比如G-DATA的也能达到60%左右。说起来好像都差不多，其实本质上是有区别的。并没有孰好孰坏。只是我觉得QVM这种技术是很新颖的。