自保强的，主防强的，关闭文件监控，来挑战一下这个AVKILL吧

驭龙

建议关闭文件监控测试
这家伙是AVKILL，我测试的时候，这家伙重启Windows以后把MA的用户交互进程文件msseces.exe删掉了（如果是WD是不是就没事了，因为WD没有这个用户交互进程），而且会关闭UAC
不建议实机玩。

VT结果
https://www.virustotal.com/zh-cn ... nalysis/1411888221/

更新一下，不好意思，加驱和重启的不是这个样本，我抓两个这类样本，同时测试的，所以弄错了。
这个才是加驱重启关UAC的样本
http://bbs.kafan.cn/thread-1775170-1-1.html

蓝天二号

ESS 无压力。

liu浪的人

这是有多心塞，看到直接由ESET到Comodo，就知道大蜘蛛又无视了。

驭龙

蓝天二号 发表于 2014-9-28 15:53
ESS 无压力。

我说过，是测主防和自保的，你这样测不好玩的

XywCloud

Baidu Antivirus云特征杀。

由于bav云报的是hacktool，所以文件监控不会被触发（这个问题将在以后修正），直接在虚拟机下开着文件监控就运行了。
在实机的沙箱里测试发现它会攻击bav，只不过在虚拟机里，我那bav没出任何异常，重启以后bav照样开机自启，一个快速扫描就把病毒还有它产生的注册表项全部带走了~
攻击无效。

驭龙

XywCloud 发表于 2014-9-28 16:14
Baidu Antivirus云特征杀。

由于bav云报的是hacktool，所以文件监控不会被触发（这个问题将在以后修正） ...

重要的是UAC有没有被灭？我测的SCEP由于Microsoft的策略，用户进程是没有自我保护的，但是，核心进程安然无恙，所以我一直推荐WD而不是SCEP

kerlee

@挥泪斩情思   求测试

XywCloud

驭龙 发表于 2014-9-28 16:44
重要的是UAC有没有被灭？我测的SCEP由于Microsoft的策略，用户进程是没有自我保护的，但是，核心进程安然 ...

UAC我没注意看。
要折腾的话我今晚把这个文件给bav主防的人让他们研究下吧。
我那个虚拟机里面UAC本来就是关着的

驭龙

kerlee 发表于 2014-9-28 16:51
@挥泪斩情思  求测试

我这里网络问题，升级DrWeb特别慢，我正准备测DPH，只可惜虚拟机已经好久没有升级了，等晚上吃完饭再测了。

驭龙

XywCloud 发表于 2014-9-28 16:52
UAC我没注意看。
要折腾的话我今晚把这个文件给bav主防的人让他们研究下吧。
我那个虚拟机里面UA ...

实际上这家伙需要获得UAC批准才能运行，如果开UAC的话，中毒概率很低，除非什么都点击允许