MA日志求助……

ELOHIM

Microsoft 反恶意软件 已检测到恶意软件或其他可能不需要的软件。
有关更多信息，请查看下列内容:
http://go.microsoft.com/fwlink/?linkid=37020&name=Worm:Win32/Flame.gen!B&threatid=2147657364
        名称: Worm:Win32/Flame.gen!B
        ID: 2147657364
        严重性: 严重
        类别: 蠕虫
        路径: file:_C:\Users\^\Desktop\7d5ad688d1cdb34f8ee694e60b9d47e894c879f23218c5c29a19a514030e706d_nteps32.ocx
        检测原点: 本地计算机
        检测类型: 一般
        检测源: 实时保护
        用户: NT AUTHORITY\SYSTEM
        进程名称: C:\Windows\System32\SearchProtocolHost.exe         
        签名版本: AV: 1.203.342.0, AS: 1.203.342.0, NIS: 115.6.0.0
        引擎版本: AM: 1.1.11903.0, NIS: 2.1.11804.0
---
        先说这个，为什么这个进程是 SearchProtocolHost.exe  索引发现的呢？莫非文件下载完成以后索引进程对其索引过程引发MA报毒？不能够吧。再看，他报的是：已检测到恶意软件或其他可能不需要的软件。

Microsoft 反恶意软件 已检测到可疑行为。
有关更多信息，请查看下列内容:
http://go.microsoft.com/fwlink/?linkid=158117&threatid=4294967289
          名称: Behavior:Win32/DroppedKnownMalware
          ID: 2257431265
          严重性: 低
          类别: 可疑行为
          路径: file:_C:\Program Files\7-Zip\7zFM.exe;process:_3556
          检测原点: 本地计算机
          检测类型: 可疑
          检测源: 实时保护
          状态: 执行
          用户: ^-PC\^
          进程名称: C:\Program Files\7-Zip\7zFM.exe
          签名 ID: 41453017067075
          签名版本: AV: 1.203.342.0, AS: 1.203.342.0
          引擎版本: 1.1.11903.0
          保真标签:  低
---
        这个可疑行为是指7z解压样本造成的吗？保真标签是什么意思？你们的1015日志多不多？@驭龙

驭龙

先说第一个问题，是因为SearchProtocolHost.exe 第一个去触碰这个病毒的文件信息，而且比Explorer早，所以显示的进程就是SearchProtocolHost.exe 了，例如解压样本的时候，第一个触碰病毒文件的是解压工具，所以进程名称就是解压工具的进程，这个SearchProtocolHost.exe 就是这个情况了。

第二个问题，Behavior:Win32/DroppedKnownMalware这个行为特征已经说的很清楚，是有程序释放已知威胁触发的行为监控遥测功能。
保真标签（这个我不敢确定），我的猜测是这个行为的危险程度吧，一般的情况下Low级是不采取操作的

ELOHIM

驭龙 发表于 2015-7-25 10:47
先说第一个问题，是因为SearchProtocolHost.exe 第一个去触碰这个病毒的文件信息，而且比Explorer早， ...

7z解压不是比 SearchProtocolHost.exe 更早接触吗？你看有时候就是7z的进程。
我自己猜测，严重病毒立即干掉的，解压过程就处理。不是很重要的，才会给 SearchProtocolHost.exe 去索引，然后这个进程触碰文件内部信息导致。

个人认为，这种让 SearchProtocolHost.exe 发现的病毒完全可以让MA右键扫描发现。
毕竟，这俩日志都是文件监控发现的。没有右键扫描。不然不会发生这样的事。

驭龙

ELOHIM 发表于 2015-7-25 10:54
7z解压不是比 SearchProtocolHost.exe 更早接触吗？你看有时候就是7z的进程。
我自己猜测，严重病毒立即 ...

注意你那个被SearchProtocolHost.exe 触发的病毒，检测类型是一般，也就是基因杀，不是特征码杀，这就让检测到样本的时候出现时间差，在解压工具解压以后，WD基因识别的时候，SearchProtocolHost.exe 在这个真空期内去触碰了病毒文件信息，此刻WD已经完成分析，所以WD就把SearchProtocolHost.exe 当成第一个触发病毒的程序

ELOHIM

驭龙 发表于 2015-7-25 11:00
注意你那个被SearchProtocolHost.exe 触发的是一般，也就是基因杀，不是特征码杀，这就让检测到样本 ...

基因杀是什么样的杀，特征码杀又是怎样一种杀？

讲讲吧……龙神。

驭龙

ELOHIM 发表于 2015-7-25 11:01
基因杀是什么样的杀，特征码杀又是怎样一种杀？

讲讲吧……龙神。

可能是我昨天说的不清楚吧
检查类型中，具体就等于是特征码识别
一般就等于是基因方式识别，也就是GEN报法
启发式就不用多说了
动态签名就等于云杀，这个会有一些延迟

PS：如果你再叫我龙神，我真的会很难过的，我看到这句话我就伤心

ELOHIM

驭龙 发表于 2015-7-25 11:06
可能是我昨天说的不清楚吧
检查类型中，具体就等于是特征码识别
一般就等于是基因方式识别，也就是GEN ...

好吧，小龙，GEN是什么报法？
基因方式是什么啊，？
启发不也是用的本地库对比吗？
动态签名的对比库放在云端了是吗？

驭龙

ELOHIM 发表于 2015-7-25 11:08
好吧，小龙，GEN是什么报法？
基因方式是什么啊，？
启发不也是用的本地库对比吗？

你还是叫我小龙，我看着心里舒服呀。
基因就是一个病毒家族多个文件共同的特征，这个被提取以后，一个基因特征，可以杀很多相似的病毒样本，但这个过程可能是需要引擎分析的。
启发是通过多个近似特征和算法识别未知威胁，是多个近似特征就会判断威胁，而且还分为动态启发和静态启发等。
基因和启发的内容太多，我说的只是一点点，你可以去搜索一下，我说的仅供参考，不准确勿怪，因为没有太多的去了解过这方面的信息。

ELOHIM

驭龙 发表于 2015-7-25 11:15
你还是叫我小龙，我看着心里舒服呀。
基因就是一个病毒家族多个文件共同的特征，这个被提取以后，一个基 ...

动态启发，静态启发……
都是什么啊？

驭龙

ELOHIM 发表于 2015-7-25 11:22
动态启发，静态启发……
都是什么啊？

我怕我说的不对，你去看看DrWeb的相关介绍吧，这个比我说的准确
http://products.drweb.cn/antivirus_system/