再次讨论火绒微点分别对所谓间谍程序的判断

win98sp123

样本地址，http://bbs.kafan.cn/thread-1575440-1-1.html。

这个样本，第一次运行，微点不会马上报，要有一个时间上的延迟，后面报的衍生物，是程序本身释放的还是联网下载的？如果是联网的，那报间谍算是正解了。
以前我举过六个样本，分别是微点报后门而火绒不报的，后来苼儿版主关闭帖子了，可能因为这样会造成争论，今天又双击测试，微点报未知间谍，火绒无提示，这个样本，数字和费尔也报了，现在特发这个帖子，无任何意图，只是想请技术达人分析一下，这个，到底是不是间谍程序，我上传火眼，分析后报告动作较少。那么，是微点过于敏感还是火绒过于沉默导致漏报？请版主在有明确结果前暂时别关帖。同时请技术达人解惑释疑。。

真是奇怪了，上午在单位测试，火绒确实是不报的，刚才到家，发现火绒有升级，然后再测试，火绒先是提示联网，点击允许，接着提示创建开机启动，点击允许后，火绒报了，上图，附火绒剑的分析，危险动作高亮显示了。。。


看来还是注入系统进程被杀，现在的问题是，创建的衍生物，是联网下载来的还是自身创建的？因为从报的结果来看，微点侧重于样本联网的原因，所以报间谍，而火绒侧重于注入系统线程，报病毒。当然，黑猫白猫，抓到老鼠都是好猫。。这里不讨论谁好谁坏，单说样本的性质。。。

/tiao眼镜鱼

那么多杀毒都报了，应该是有问题了，楼主既然用就相信微点的能力好了！

win98sp123

/tiao眼镜鱼 发表于 2013-5-29 19:32
那么多杀毒都报了，应该是有问题了，楼主既然用就相信微点的能力好了！

火眼没报威胁。。我现在就知道样本最后自我删除。。

/tiao眼镜鱼

win98sp123 发表于 2013-5-29 19:39
火眼没报威胁。。我现在就知道样本最后自我删除。。

这个样本不确定对系统有没有造成危害，总不能对自动腿粗的样本就杀吧，不过现在那么多杀毒都杀了，只能让火绒早点入库，慢慢完善规则了……

win98sp123

/tiao眼镜鱼 发表于 2013-5-29 19:41
这个样本不确定对系统有没有造成危害，总不能对自动腿粗的样本就杀吧，不过现在那么多杀毒都杀了，只能让 ...

算上这个，我已经归纳了7个了，希望火绒尽快完善吧，应该不是偶然，应该是代表了一类。。。不知道可不可以这样认为。。。有技术达人彻底分析一下吗

/tiao眼镜鱼

win98sp123 发表于 2013-5-29 19:44
算上这个，我已经归纳了7个了，希望火绒尽快完善吧，应该不是偶然，应该是代表了一类。。。不知道可不可以 ...

只能说火绒对这类的规则还不够完善，希望他们慢慢完善规则就好了

倾枫锝渔♂

抱歉我这里程序闪退~无法分析了~

流星街

微點做多久？火絨做多久？需要時間來改進各方面的問題的~

wqcaokeyinwq

用人不疑疑人不用。。。。。。



微点的动态仿真系统。。。还是很秘密的。。。。。


记住了。。。


看不见的规则才是安全的。。。。。。。

win98sp123

wqcaokeyinwq 发表于 2013-5-29 20:13
用人不疑疑人不用。。。。。。

我说了，不是讨论谁好谁坏的，只是想看看，这个样本的本质，然后看看微点和火绒哪个报的更准确，我更乐于反馈给官方。微点我是深信不疑的，我是微点的手机付费用户。。。你说的也对，火绒剑里的规则，很明白，不排除被针对，我同意。。。