这个后缀是指什么？应该不是变种的意思吧。

ELOHIM

@驭龙 @wjy19800315 @ericdj @maomao110 @pal家族 @root1605 @星星月亮太阳神阿波罗。

微软病毒百科搜索关键字：plock
http://www.microsoft.com/securit ... ch.aspx?query=plock

变种的命名规则应该是，A,B,C,D...AA,AB,AC,AD,A1,A2,A3,......等等，
但是，plock是指什么意思呢？？

驭龙

我都说过很多次了，plock是现在DSS的代名词，凡是后缀带plock的，都是动态签名服务的云杀，当然个别的动态签名服务报法也不带plock，但现在绝大部分的动态签名服务报的云杀都带有plock，大概现在应该有接近百个plock威胁家族的报法了

ELOHIM

驭龙 发表于 2015-8-8 19:06
我都说过很多次了，plock是现在DSS的代名词，凡是后缀带plock的，都是动态签名服务的云杀，当然个别的动态 ...

我没有见过说啊。。嘿嘿
那就是说，如果断网扫描是不应该出现plock后缀的吗？？

驭龙

ELOHIM 发表于 2015-8-8 19:09
我没有见过说啊。。嘿嘿
那就是说，如果断网扫描是不应该出现plock后缀的吗？？

如果联网的时候对一个样本报plock了，那在你更新特征库之前，DSS的云特征会临时在本地，这个期间断网以后，再放出这个样本时，也是会报plock的

驭龙

下面是截止日期为2015年7月16日的plock家族数，注意这是上个月的数据，不是现在的数据
[mw_shl_code=css,true]TrojanDownloader:Win32/Kuluoz.gen!plock
Worm:Win32/Dorkbot.gen!plock
Rogue:Win32/FakeRean!plock
Program:Win32/Creprote.D!plock
Rogue:Win32/Trapwot!plock
Backdoor:Win32/Kelihos.A!plock
PWS:Win32/Zbot.gen!plock
Trojan:Win32/Peaac!plock
Trojan:Win32/Peaac.gen!A!plock
TrojanDownloader:Win32/Kuluoz.gen!plock
TrojanDownloader:Win32/Cutwail.gen!plock
Backdoor:Win32/Simda.gen!plock
Worm:Win32/Dorkbot.gen!plock
TrojanDownloader:Win32/Kadena.gen!plock
Trojan:Win32/Malinject.gen!plock
Trojan:Win32/Autoac!plock
Trojan:Win32/Obfac!plock
Trojan:Win32/Anaki.A!plock
Trojan:Win32/Reveton.A!plock
Trojan:Win32/Nutiber.A!plock
Trojan:Win32/Tefau.A!plock
Trojan:Win32/Gheugent.A!plock
Trojan:Win32/Rembem.A!plock
Trojan:Win32/Peals.A!plock
Rogue:Win32/FakeRean!plock
Trojan:Win32/Deefy!plock
Trojan:Win32/Sail!plock
Trojan:Win32/Yakad.A!plock
Ransom:Win32/Reveton.C!plock
TrojanDownloader:Win32/Upatre.gen!plock
Trojan:Win32/Peals.C!plock
Trojan:Win32/Peals.D!plock
Trojan:Win32/Peals.B!plock
Trojan:Win32/Peals.E!plock
Trojan:Win32/Peals.F!plock
Trojan:Win32/Peals.G!plock
Trojan:Win32/Peals.H!plock
Trojan:Win32/Yuntura.A!plock
Worm:Win32/Gamarue.A!plock
Trojan:Win32/Skeeyah.A!plock
Trojan:Win32/Skeeyah.B!plock
Trojan:Win32/Skeeyah.C!plock
Worm:VBS/Jenxcus.A!plock
Trojan:Win32/Apmit.A!plock
Trojan:Win32/Kovter.gen!plock
Trojan:Win32/Pocyx.A!plock
Trojan:Win32/Pocyx.B!plock
Trojan:Win32/Apmit.B!plock
Trojan:Win32/Recal.gen!plock
Trojan:Win32/Tilken!plock
Worm:Win32/Genirc.gen!plock
VirTool:MSIL/Rujia.A!plock
Trojan:Win32/Maldet.gen!plock
VirTool:MSIL/Biresso.A!plock
Worm:Win32/Fractua.A!plock
Program:Win32/Creprote.D!plock
Trojan:Win32/Damata.A!plock
Trojan:Win32/Damata.B!plock
Backdoor:Win32/Tofsee.A!plock
Trojan:Win32/Pocyx.C!plock
Trojan:Win32/Hucnak.A!plock
Trojan:Win32/Hucnak.B!plock
Trojan:Win32/Hucnak.C!plock
Rogue:Win32/Trapwot!plock
Trojan:MSIL/Toauta.A!plock
Trojan:Win32/Pocyx.D!plock
Trojan:Win32/Pocyx.E!plock
Trojan:Win32/Pocyx.F!plock
Trojan:Win32/Zebrovx!plock
Trojan:Win32/Anaki.B!plock
Trojan:Win32/Tefau.B!plock
Trojan:Win32/Yakad.B!plock
Trojan:Win32/Gheugent.B!plock
Backdoor:Win32/Bedep.A!plock
Trojan:Win32/Suloc.A!plock
Backdoor:Win64/Bedep.A!plock
Trojan:Win32/ToppleWire.A!plock
Trojan:Win32/Suloc.B!plock
Backdoor:Win32/Kelihos.A!plock
Trojan:Win32/Hiclas.A!plock
Trojan:Win32/Hiclas.B!plock
Trojan:Win32/Dorkyload!plock
Worm:JS/Bondat!plock
Trojan:Win32/Pelsi!plock
Backdoor:MSIL/Bladabidi.A!plock
Trojan:Win32/Hucnak.D!plock
Trojan:Win32/Damata.C!plock
Trojan:Win32/Fanoly.A!plock
Trojan:Win32/Fanoly.B!plock
Trojan:Win32/Fanoly.C!plock
Trojan:Win32/Fanoly.D!plock
Trojan:Win32/Fanoly.E!plock
Trojan:Win32/Fanoly.F!plock
[/mw_shl_code]

pal家族

你竟然不知道。。。
我没用过mse都是知道这是一种云杀。。龙大大讲过n次
哈~O(∩_∩)O哈！

ELOHIM

pal家族 发表于 2015-8-8 20:28
你竟然不知道。。。
我没用过mse都是知道这是一种云杀。。龙大大讲过n次
哈~O(∩_∩)O哈！

你知道我知不知道的。
云杀效果，也需要云库有定义是吗？
云库版本怎么判断呀？
我用几天以前的本地库联网查杀以前的包，只云杀一个，但是更新病毒库以后会杀很多。
这是什么原因啊大神。

pal家族

ELOHIM 发表于 2015-8-8 20:33
你知道我知不知道的。
云杀效果，也需要云库有定义是吗？
云库版本怎么判断呀？

ask yulong
我只会yulong说什么我就跟什么。
我啥也不懂

白露为霜

云缓存也报plock啊。

驭龙

ELOHIM 发表于 2015-8-8 20:33
你知道我知不知道的。
云杀效果，也需要云库有定义是吗？
云库版本怎么判断呀？

目前的云杀根本无法取代特征库，另外MA没有云库版本，MA的云端是实时分析的自动化分析系统，并不是TrendMicro的那种云库版本。

其实MA的云杀分为两部分，比如说Trojan:Win32/Skeeyah.C!plock，它的特征很大一部分实际上是在病毒库中的，但是Trojan:Win32/Skeeyah.C!plock不会在没有DSS的Signature情况下发动，只有获得云反馈DSS的Signature，Trojan:Win32/Skeeyah.C!plock才会杀掉样本。

但是现在的plock还是MA的应急手段，暂时MA还是依靠特征库比较多，这就是你更新特征库以后杀更多威胁的原因，因为plock暂时还是应急手段