说说“O引擎”？

青春虎

不知道大家还记不记得“O引擎”，之前有讨论的，详见http://bbs.kafan.cn/thread-1427527-1-1.html

昨天上报样本时，有个样本貌似能证明上面这个帖子的一些观点，所以发帖说说

帖子比较乱，错误的大家指正！


样本来源：http://bbs.kafan.cn/thread-1782840-1-1.html
（ps，8L说DG可以阻止，俺试试，俺的DG没阻止，安装了一堆软件）

直接上报，回复是“Trojan.Downloader.JRER”，等升级


具体入库的版本号2014-10-30_06



未升级前右键扫了扫

扫描报告

2014年10月31日 9:05:04 - 9:05:05


目标: E:\下载\butimal238l52661.zip

结果: 找到 1 恶意软件

Suspicious:W32/Malware.810df0c22e!Online (病毒)
E:\下载\butimal238l52661.zip\butimal238l52661.exe

定义版本:
病毒: 2014-10-30_05
间谍软件: 2014-10-30_05
扫描引擎：
F-Secure Aquarius: 11.00.01, 2014-10-30
F-Secure Hydra: 5.12.52, 2014-10-30
F-Secure Online: 13.70.113, 0-00-00
F-Secure Gemini: 3.02.279, 2014-10-10

升级后

扫描报告

2014年10月31日 9:37:11 - 9:37:15

计算机名称: K470-I5D1
扫描类型: 扫描目标
目标: E:\下载\butimal238l52661.zip

结果: 找到 2 恶意软件

Trojan.Downloader.JRER (病毒)
E:\下载\butimal238l52661.zip\butimal238l52661.exe
E:\下载\butimal238l52661.zip

定义版本:
病毒: 2014-10-31_01
间谍软件: 2014-10-31_01

05库是O引擎报的，现在是BD直接报了

还有，官方的说明文档：http://www.f-secure.com/v-descs/ ... alware_online.shtml
有2个地方值得注意
1、看到重命名的处理方式了吧！

Automatic action
Once detected, the F-Secure security product will automatically disinfect the suspect file by either deleting it or renaming it.

2、DG与“O引擎”

The detection Suspicious:W32/Malware!Online is equivalent to an automatic block by our DeepGuard behavior blocking technology, which would appear to a user as:


An automatic block from Deepguard prevents a potentially harmful program from running, unless explicitly permitted to do so by the user.

终上，
在处理上肯定是BD引擎优先
如果上报确认为病毒，还未入库时，云端先拉黑（ps，信誉云？），“O引擎”处理，DG阻止，DG的拉黑大法，呵呵
BD入库了，就没“O引擎”神马事了

欧阳宣

也就是说DG更倾向于一个基于云查杀的引擎而非主防模块了？

勇者无敌

不常见的先奸再说

青春虎

欧阳宣 发表于 2014-10-31 11:49
也就是说DG更倾向于一个基于云查杀的引擎而非主防模块了？

因为找不到DG具体报法的说明，除了高启Gemini报的，其他的感觉都像是云拉黑什么的，虽然DG也有沙箱其他的

PlayWill

青春虎 发表于 2014-10-31 12:04
因为找不到DG具体报法的说明，除了高启Gemini报的，其他的感觉都像是云拉黑什么的，虽然DG也有沙箱其他的

FS没沙箱了吧

QQ1014530747

青春虎 发表于 2014-10-31 12:04
因为找不到DG具体报法的说明，除了高启Gemini报的，其他的感觉都像是云拉黑什么的，虽然DG也有沙箱其他的

很奇怪。