【新观察】本机云端病毒码对CTB-Locker检测的观察

尘梦幽然

发现一个有趣的情况
1月30日CTB-Locker样本
http://bbs.kafan.cn/thread-1806804-1-1.html
上午9点多，趋势科技简中8.0还无法检测它。但是1月29日的趋势科技繁中8.0本机云端病毒码已经能检测了。
到了下午，趋势科技进行了每日一次的简中本机云端病毒码更新，方能查杀此病毒。
也就是说，趋势科技简中8.0在和国际版本机云端病毒码同步中相差一天。

2月5日的CTB-Locker样本
1.http://bbs.kafan.cn/thread-1808114-1-1.html
2.http://bbs.kafan.cn/thread-1808224-1-1.html
3.http://bbs.kafan.cn/thread-1808209-1-1.html
发生了很有趣的现象。
首先，第1个帖子里的样本zbbtgsd.exe，2月6日的趋势科技繁中8.0本机云端病毒码将其检测为TROJ_CRYPCTB.YVB
而简中8.0本机云端病毒码更新到2月7日的11.464.71后才能对其进行检测，而且检测名是TROJ_CRYPCTB.SME
我一直以为趋势科技简中码在同步国际码的时候是不会改变检测名的，而且应该是单纯的简中码+国际码结构，这就证明我错了，中国区病毒码制作的时候，连病毒命名上面都对国际码进行了整理。

其次，2、3中的样本，是我在2月5日提交给趋势科技中国技术支持的。2月5日-2月6日，趋势科技国内外全线病毒码都不能对其进行检测。
2月6日，趋势科技中国回复说正在制作病毒码。
2月7日，繁中11.463.95，简中11.464.71病毒码更新后，同时对我提交的两个样本进行了检测，没有出现简中延迟。
附图：
繁中8.0

简中8.0

阿波99

目前正用坛里DX分享的全功能版中

寒山竹语

是不是说，绝大多数时候简体没用…哈哈！

尘梦幽然

寒山竹语 发表于 2015-2-7 17:32
是不是说，绝大多数时候简体没用…哈哈！

我在想的是：
1.是什么原因导致今天在这几个样本上，简体和繁体病毒码出现了短暂同步？而且，检测名还一样。
按理来说，提交给中国区的病毒样本，都应该是TROJ_GENERIC.APC命名方式，但是这次不是。
如果是国际方面做的病毒码，那为什么能够以异常快的速度，同步到ChinaPattern？
2.ChinaPattern制作人员难不成也有权对病毒进行家族命名？（因为之前所有的提交样本，反映在ChinaPattern上的结果就是TROJ_GENERIC.APC）

寒山竹语

尘梦幽然 发表于 2015-2-7 18:05
我在想的是：
1.是什么原因导致今天在这几个样本上，简体和繁体病毒码出现了短暂同步？而且，检测名还 ...

过完年我给你问问。目前我在外地还挺忙…

尘梦幽然

寒山竹语 发表于 2015-2-7 18:18
过完年我给你问问。目前我在外地还挺忙…

因为一些有关漏洞啊、感染性类型的东西实际上是存在于本机云端病毒码的。
所以为了避免今天是偶然性的“国际病毒码与中国区病毒码同步日”
所以进行了如下测试：
样本：http://bbs.kafan.cn/thread-1808694-1-1.html
趋势繁中8.0：
安全威脅:        SWF_EXPLOIT.MJST
來源類型:        安全威脅
受影響的檔案:        C:\Documents and Se…c8ceb0eb0d2a08fbb6f
處理行動:        已移除
偵測方式:        手動掃瞄

趋势简中8.0miss
所以，这可以说明，本帖中几个TROJ_CRYPCTB.SME的同步检测是特别为之。其他的病毒码在与国际病毒码同步的时间差仍然有一天或者更长时间。

ELOHIM

MMPC就没有这方面的问题。