直播诺顿双击！第三波（3月11日卡饭样本包）

显示全部楼层 · 发表于 2013-3-12 14:31:34

消停发表于 2013-3-12 14:29
怎么个道道？

有些是网马上直接拉下来的。

显示全部楼层 · 发表于 2013-3-12 14:36:42

ywsuda 发表于 2013-3-12 14:31
有些是网马上直接拉下来的。

IPS虽强，但局限性也大！绕过它也比较容易！

显示全部楼层 · 发表于 2013-3-12 15:20:32

支持双击

显示全部楼层 · 发表于 2013-3-12 15:39:03

本帖最后由 wjcharles 于 2013-3-12 15:41 编辑

425162926 发表于 2013-3-12 09:52
考虑误报，查杀没啥说服力。

你那个是下载分析误报的，不是扫描和主防误报
LZ的测试不包括下载分析，如果包括了下载分析，那么这个样本包静态检测率就有96%，加上双击就100%了。这才叫高查杀带来的高误报。

类别：已解决的安全风险
日期和时间,风险,活动,状态,推荐的操作,路径 - 文件名
2013/3/11 23:50:23,高,检测到 6.exe (SONAR.Dropper) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\6.exe
2013/3/11 23:50:17,高,systray.com (Backdoor.IRC.Bot) 检测方自动防护,已阻止,已解决 - 不需要操作,
2013/3/11 23:48:41,高,检测到 30.exe (SONAR.Dropper) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\30.exe
2013/3/11 23:48:10,高,help.exe (Backdoor.Graybird) 检测方自动防护,已阻止,已解决 - 不需要操作,
2013/3/11 23:47:30,中,检测到 8.exe (WS.Reputation.1) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\8.exe
2013/3/11 23:47:30,高,检测到 13.exe (Packed.Generic.232) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\13.exe
2013/3/11 23:47:29,中,检测到 42.exe (WS.Reputation.1) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\42.exe
2013/3/11 23:47:29,中,检测到 40.exe (WS.Reputation.1) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\40.exe
2013/3/11 23:47:27,高,检测到 37.exe (Trojan.Gen.2) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\37.exe
2013/3/11 23:47:25,高,检测到 36.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\36.exe
2013/3/11 23:47:23,高,检测到 35.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\35.exe
2013/3/11 23:47:22,高,检测到 43.exe (Infostealer) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\43.exe
2013/3/11 23:47:22,高,检测到 9.exe (Backdoor.Trojan) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\9.exe
2013/3/11 23:47:22,高,检测到 41.exe (Trojan.Gen.2) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\41.exe
2013/3/11 23:47:22,中,检测到 34.exe (WS.Reputation.1) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\34.exe
2013/3/11 23:47:21,中,检测到 29.exe (WS.Reputation.1) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\29.exe
2013/3/11 23:47:21,高,检测到 49.exe (Backdoor.Graybird) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\49.exe
2013/3/11 23:47:21,高,检测到 28.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\28.exe
2013/3/11 23:47:21,高,检测到 50.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\50.exe
2013/3/11 23:47:21,高,检测到 45.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\45.exe
2013/3/11 23:47:17,高,检测到 46.exe (Infostealer) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\46.exe
2013/3/11 23:47:17,高,检测到 27.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\27.exe
2013/3/11 23:47:17,高,检测到 47.exe (Trojan.Gen.2) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\47.exe
2013/3/11 23:47:17,高,检测到 48.exe (Trojan.Gen.2) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\48.exe
2013/3/11 23:47:16,高,检测到 26.exe (Trojan.Ransomlock!g8) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\26.exe
2013/3/11 23:47:16,高,检测到 38.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\38.exe
2013/3/11 23:47:16,高,检测到 44.exe (Trojan.Gen.2) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\44.exe
2013/3/11 23:47:15,高,检测到 39.exe (Backdoor.Trojan) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\39.exe
2013/3/11 23:47:14,中,检测到 25.exe (WS.Reputation.1) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\25.exe
2013/3/11 23:47:14,低,检测到 7.exe (Adware.CPush) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\7.exe
2013/3/11 23:47:06,中,检测到 19.exe (WS.Reputation.1) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\19.exe
2013/3/11 23:47:06,高,检测到 31.exe (Infostealer) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\31.exe
2013/3/11 23:47:06,高,检测到 33.exe (Infostealer) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\33.exe
2013/3/11 23:47:06,中,检测到 17.exe (WS.Reputation.1) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\17.exe
2013/3/11 23:47:06,中,检测到 23.exe (WS.Reputation.1) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\23.exe
2013/3/11 23:47:05,高,检测到 5.exe (W32.Pilleuz) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\5.exe
2013/3/11 23:47:02,高,检测到 16.exe (Adware.Adpopup) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\16.exe
2013/3/11 23:47:02,高,检测到 32.exe (Infostealer) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\32.exe
2013/3/11 23:46:57,中,检测到 15.exe (WS.Reputation.1) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\15.exe
2013/3/11 23:46:57,高,检测到 4.exe (Infostealer) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\4.exe
2013/3/11 23:46:56,高,检测到 14.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\14.exe
2013/3/11 23:46:55,高,检测到 24.exe (Packed.Generic.232) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\24.exe
2013/3/11 23:46:55,高,检测到 18.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\18.exe
2013/3/11 23:46:54,高,检测到 3.exe (Packed.Generic.232) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\3.exe
2013/3/11 23:46:53,中,检测到 11.exe (WS.Reputation.1) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\11.exe
2013/3/11 23:46:53,高,检测到 12.exe (Trojan.Gen.2) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\12.exe
2013/3/11 23:46:52,高,检测到 2.exe (Infostealer) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\2.exe
2013/3/11 23:46:52,高,检测到 22.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\22.exe
2013/3/11 23:46:47,高,检测到 10.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\10.exe
2013/3/11 23:46:47,高,检测到 21.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\21.exe
2013/3/11 23:46:46,高,检测到 20.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\20.exe
2013/3/11 23:46:45,高,检测到 1.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\downloads\201331_nyav.net---0161b645cb8615661d1dca51\2013311\1.exe

显示全部楼层 · 发表于 2013-3-12 15:43:11

剩下的8个样本，我大趋势杀了3个

显示全部楼层 · 发表于 2013-3-12 15:48:41

消停发表于 2013-3-12 14:36
IPS虽强，但局限性也大！绕过它也比较容易！

如果刻意绕过ips测试就没啥意思了，网马提取到本地本来就没意思

显示全部楼层 · 发表于 2013-3-12 15:51:07

ywsuda 发表于 2013-3-12 15:48
如果刻意绕过ips测试就没啥意思了，网马提取到本地本来就没意思

我的意思是一些样本不一定非的通过网络传播，我家有个同事就把一个样本弄到一个游戏里了，运行游戏样本也跟着运行！样本还是我给他的！也是下载的话会触发IPS！

显示全部楼层 · 发表于 2013-3-12 18:16:50

本帖最后由 wjcharles 于 2013-3-12 18:18 编辑

ywsuda 发表于 2013-3-12 15:48
如果刻意绕过ips测试就没啥意思了，网马提取到本地本来就没意思

测试因为可操作性、可重复性等限制，不大可能跟实际情况完全符合，只要说清楚，真实环境中还有ips把关就可以了。
考虑实际情况，昨天的样本其实不用ips，只要不绕过下载分析，差不多就杀完了（见24L），这样的话双击也没什么乐趣了

显示全部楼层 · 发表于 2013-3-14 20:59:18

wjcharles 发表于 2013-3-12 15:39
你那个是下载分析误报的，不是扫描和主防误报
LZ的测试不包括下载分析，如果包括了下载分析，那么这个 ...

这点测试容量，基于不认识就杀的杀毒技术，也没满分。。。。。

显示全部楼层 · 发表于 2013-3-14 22:44:34

425162926 发表于 2013-3-14 20:59
这点测试容量，基于不认识就杀的杀毒技术，也没满分。。。。。

所以只能说下载分析误报高，虽然高检测，效果也就这样，达不到100%，比较突出优点是抵抗一般免杀手段

其实NIS扫描和主防的误报NIS也一般般，但不算高，相对来说SEP误报比较低

[讨论] 直播诺顿双击！第三波（3月11日卡饭样本包）