[2014.07.23]今日趣闻-窥探一次平凡的特征库更新version 1.179.832.0的秘密[黑一下MA]

驭龙

2014年7月23日，又有大批Behavior定义加入，但我还是要黑一下MA家族，添加这种Behavior行为定义有啥用？不负责扫描，病毒匹配的行为即使是被检测到，只不过是拦截一下，样本母体还在，如果病毒有启动项，那真的还是死循环，跟我之前说的动态防御体系的硬伤一样，真搞不懂Microsoft的玩法，最后说一句MA是基础保护，大家都懂得。
源日志
Antimalware (Antivirus + Antispyware)

Name	Alert Level
Backdoor:Win32/Blohi.A	Severe
Behavior:Win32/DropperAntiEmuTimeStampCheck	Severe
Behavior:Win32/DropperAntiEmuTimeStampRead	Severe
Behavior:Win32/DropperAutInjectAS	Severe
Behavior:Win32/DropperCeeInjectKK	Severe
Behavior:Win32/DropperGamarueDll	Severe
Behavior:Win32/DropperInjectorEE	Severe
Behavior:Win32/DropperInjectorEJ	Severe
Behavior:Win32/DropperMiurefB	Severe
Behavior:Win32/DropperNop1	Severe
Behavior:Win32/DropperNop2	Severe
Behavior:Win32/DropperObfuscatorACP	Severe
Behavior:Win32/DropperObfuscatorACV1	Severe
Behavior:Win32/DropperObfuscatorACV2	Severe
Behavior:Win32/DropperObfuscatorAFG	Severe
Behavior:Win32/DropperObfuscatorAIY	Severe
Behavior:Win32/DropperObfuscatorAKE	Severe
Behavior:Win32/DropperObfuscatorAKH	Severe
Behavior:Win32/DropperObfuscatorCaphaw	Severe
Behavior:Win32/DropperObfuscatorN	Severe
Behavior:Win32/DropperObfuscatorQG	Severe
Behavior:Win32/DropperObfuscatorRefys	Severe
Behavior:Win32/DropperObfuscatorVM	Severe
Behavior:Win32/DropperObfuscatorZK	Severe
Behavior:Win32/DropperObscureDll	Severe
Trojan:WinNT/Hookmoot	Severe
Behavior:Win32/IeNitalDropper.A	Severe
Worm:Win32/Rimecud.A	Severe
Backdoor:Win32/Xtrat	Severe

=============================================================
今天的提前通知MA引擎更新的信息发布以后，很多人在说MSE多少年不变，我现在虽然已经不玩MA了，可我还是想说MSE在一点点的变化，只是百分之八九十的朋友不知道它的变化。
原帖：
【提前通知】本月15日Microsoft AntiMalware家族反恶意软件引擎将更新至1080X.0版

实际上MSE的变化不是从UI观察的，而是AntiMalware Engine和特征码以及软件平台这些方面看，比如说今天更新的version 1.177.2242.0特征库，表面上平凡无奇，实际上却暗藏玄机，version 1.177.2242.0更新了专门攻击MA软件的恶意软件行为（Behavior）特征定义，这极大程度上提升了MA软件的防破坏和自我保护，这就是Microsoft AntiMalware的低调风格。
附日志：
New definitions Antimalware (Antivirus + Antispyware)  

Name	Alert Level
TrojanDownloader:Win32/Beebone.gen!G	Severe
Backdoor:Win32/Jedobot.A	Severe
Behavior:Win32/MpTamperBlockImgDeb.A	Severe
Behavior:Win32/MpTamperBlockSrv.A	Severe
Behavior:Win32/MpTamperBlockSrv.B	Severe
Behavior:Win32/MpTamperBlockSrv.C	Severe
Behavior:Win32/MpTamperBlockSrv.D	Severe
Behavior:Win32/MpTamperBlockSrv.E	Severe
Behavior:Win32/MpTamperBlockSrv.F	Severe
Backdoor:Win32/Plugx.A	Severe
HackTool:Win32/Passview	Moderate

实际上SCEP 4.6的破解版已经准备好了，但是我不会发，我可不想惹麻烦，毕竟发SCEP破解版对我一点好处也没有，反而会有人认为我是Microsoft的人，那我岂不是很冤枉，所以我上次已经发帖声明，不再发MA家族的版本下载。 我也无能为力，MA家族版本下载以后停止提供，非常抱歉
PS：回家研究我大Norton Security去，现在喜欢它胜过喜欢MA啦。

驭龙

jxae 发表于 2014-7-16 14:45
看来驭龙貌似对MA很失望啊……

嗯，看到MA 4.6以后，更失望了，你瞧瞧隔壁如火如荼测试的NS 22和MES 10.0还有刚刚正式版没多久的OfficeScan 11，三大集体发力，外加俄系安软的完善和国内安软的崛起，MA有啥玩头，除非以后有巨大变化，不然真的没兴趣

何以陌生

那驭龙大神最近在用哪款安全软件啊？

驭龙

何以陌生 发表于 2014-7-11 19:58
那驭龙大神最近在用哪款安全软件啊？

今天安装的Norton 360，前几天一直是Kaspersky 2015

erui

驭龙，来一个SCEP4.6破解版吧，官方的SCEP4.6正式版要什么时候出来呢？

驭龙

erui 发表于 2014-7-12 07:37
驭龙，来一个SCEP4.6破解版吧，官方的SCEP4.6正式版要什么时候出来呢？

很抱歉，我不发MA任何版本的下载了，实在是不好意思，正式版两三个月以后就差不多了

玉米包粟

驭龙 发表于 2014-7-12 07:46
很抱歉，我不发MA任何版本的下载了，实在是不好意思，正式版两三个月以后就差不多了

龙大，4.5的支持升级么?

驭龙

玉米包粟 发表于 2014-7-12 16:46
龙大，4.5的支持升级么?

如果正式版发布，应该有可能自动升级，微软是这样说的，但具体情况，我就不知道了，因为Microsoft经常是说一套做一套，

玉米包粟

驭龙 发表于 2014-7-12 16:50
如果正式版发布，应该有可能自动升级，微软是这样说的，但具体情况，我就不知道了，因为Microsoft经常是 ...

好吧，还是等等看吧。

Opera~

话说破解版怎么制作的( •̀ ω •́ )y

---

有了小尾巴之后感觉萌萌哒( •̀ ω •́ )y

驭龙

Opera~ 发表于 2014-7-12 21:07
话说破解版怎么制作的( •̀ ω •́ )y

超级简单
http://bbs.kafan.cn/thread-1635501-1-1.html