QQ盗号木马

pal家族

__情义丶飞雪 发表于 2015-4-28 13:11
woc。。卡巴从来不报木马？

我没有理解，不好意思
什么叫木马？什么叫病毒？什么叫蠕虫？什么叫风险程序？
亲（づ￣3￣）づ╭❤～你知道他们的区别和联系嘛？

pal家族

__情义丶飞雪 发表于 2015-4-28 13:11
woc。。卡巴从来不报木马？

http://www.kaspersky.com/interne ... hreats/all-articles
http://www.kaspersky.com/interne ... are-classifications
从卡巴网站找的，全英文，可以用浏览器翻译插件
其他杀软也有相关知识介绍，你也可以参考，比如铁壳好像有中文介绍

，就一个.

BD 2015最新版AVC 此版本才可以（低于版本不能拦截。）拦截后提升重启删除衍生物 说明一下 我测试了所有智能主防 只有最新版的AVC可以拦截此样本












为什么其他智能主防不能拦截 重点是此样本会调取如图

rundll32.exe此进程是系统重要进程，一般的智能主防规则库是排除监控默认放行  而BD AVC通过一种复杂的技术可以巧妙的捉住恶意行为极其衍生物所创建的进程。

pal家族

Hello,

采购明细清单.exe - Trojan-PSW.Win32.QQPass.cpwd

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

pal家族

，就一个. 发表于 2015-4-28 14:51
BD 2015最新版AVC 此版本才可以（低于版本不能拦截。）拦截后提升重启删除衍生物 说明一下 我测试了所有智 ...

不能拦截的，不说技术不行
就从策略上 没有用主防防粘虫的策略，即使监控到了动作也不会有反应
应该是bd在这方面下了功夫

蓝色天气

费尔解压报

这样痴痴爱着你

火绒，上报咯~

，就一个.

pal家族 发表于 2015-4-28 17:00
不能拦截的，不说技术不行
就从策略上 没有用主防防粘虫的策略，即使监控到了动作也不会有反应
应该是b ...

BD在AVC身上下了太多的功夫，AVC现在就相当于BD的另一个引擎。 对付目前的粘虫，EMA的主防不杀，我反馈给他们样本，叫他们分析改进，结果他们说It looks like you're using rundll32.exe to execute malicious code. Because rundll32.exe is Windows system files, and all the code is executed by the process, it will be automatically allowed. We can't block Windows System Files, as that would be catastrophic.
而AVC可以拦截可以看出运用的不上常规的技术，常规技术拦截会导致无法识别注入和调用进程的是什么东西，如果贸然拦截，会让系统崩溃，因为系统也会调用 rundll32.exe，而AVC独一无二的进程监控评分技术就可以识别，这次AVC加强应该是降低了AVC的拦截评分阈值，很多之前不拦截的游戏进程都会拦截。

，就一个.

pal家族 发表于 2015-4-28 17:00
不能拦截的，不说技术不行
就从策略上 没有用主防防粘虫的策略，即使监控到了动作也不会有反应
应该是b ...

这是火眼分析的，上面说的第4代就进化到不会触发任何主防规则， AVC 2013年就可以拦截，而这次是第6带产品，已经进化到以假乱真的地步了，不仅不会触发主防，还会利用系统正常进程进行伪装，如果常规主防加入规则拦截，就用时会拦截系统和其他正常软件调用rundll32.exe进程，造成毁灭性的灾难。

pal家族

，就一个. 发表于 2015-4-28 18:22
这是火眼分析的，上面说的第4代就进化到不会触发任何主防规则， AVC 2013年就可以拦截，而这次是第6 ...

感觉对于大多杀软来说 入库加静态启发好些。。