精睿样本测试（15.10.14）

嵩弦离合

百度杀毒，有待加强

[mw_shl_code=css,true]百度杀毒扫描日志

扫描信息
扫描开始时间:2015-10-14 15:43:58
扫描用时:00:00:03
扫描类型:自定义查杀
扫描状态:查杀完成

扫描结果
扫描文件数:50
发现风险数:9
已处理风险数:9


风险情况详情:

病毒木马名:Win32.Gen.CCE10.dsl.cav  路径:d:\desk\2015.10.14\02.vir  病毒木马类型:恶意木马 成功清除
病毒木马名:Win32.Gen.CCE03.cdq.cav  路径:d:\desk\2015.10.14\24.vir  病毒木马类型:恶意木马 成功清除
病毒木马名:Win32.Gen.CCE03.cdq.cav  路径:d:\desk\2015.10.14\30.vir  病毒木马类型:恶意木马 成功清除
病毒木马名:Win32.Backdoor.Bladabindi.a.bav  路径:d:\desk\2015.10.14\20.vir  病毒木马类型:后门程序 成功清除
病毒木马名:Win32.Gen.CCEV207.tty.cav  路径:d:\desk\2015.10.14\35.vir  病毒木马类型:恶意木马 成功清除
病毒木马名:Win32.Gen.CCE10.dsl.cav  路径:d:\desk\2015.10.14\41.vir  病毒木马类型:恶意木马 成功清除
病毒木马名:Win32.Gen.CCE03.cdq.cav  路径:d:\desk\2015.10.14\42.vir  病毒木马类型:恶意木马 成功清除
病毒木马名:Win32.Gen.CCE03.cdq.cav  路径:d:\desk\2015.10.14\44.vir  病毒木马类型:恶意木马 成功清除
病毒木马名:Win32.Backdoor.Bladabindi.a.bav  路径:d:\desk\2015.10.14\49.vir  病毒木马类型:后门程序 成功清除[/mw_shl_code]

伽蓝迹丶舞风

ericdj 发表于 2015-10-14 13:06
目测微软的WD/SCEP修复后时间不改

没用过WD不太了解
刚才装了试了一下，正好放上今天的成绩
检测到28个 删除26个 清理失败2个 手动选择隔离 剩余22个




WD的清理功能应该就相当于修复吧？检测的那26个样本只能选择删除，隔离或者允许
只有那两个样本可以选择清理，但是无法清理成功，最后隔离了

特意翻了一下昨天的样本帖子，发现测试者结果里有4个修复的，所以我又用WD扫了一下昨天的样本想试一下修复之后的样本修改时间会不会改变

但是   我这里的结果并没有一个是清理的，检测出的样本全都默认选择 删除操作 ，我一个一个点的没有样本能选择清理

@驭龙
大神能否科普一下杀软的 修复 原理？还有“修复之后文件的修改日期会不会改变”这个问题

ericdj

伽蓝迹丶舞风 发表于 2015-10-14 16:01
没用过WD不太了解
刚才装了试了一下，正好放上今天的成绩
检测到28个 删除26个 清理失败2个 手动 ...

不，清理是清理，修复是修复。。。
wd的修复要看日志……

驭龙

伽蓝迹丶舞风 发表于 2015-10-14 16:01
没用过WD不太了解
刚才装了试了一下，正好放上今天的成绩
检测到28个 删除26个 清理失败2个 手动 ...

微软的杀毒软件很特殊，就即使是选择删除，遇到能修复的，它也还是会修复，不会删除文件，而且被修复的文件不会改时间，这是微软的引擎原因

驭龙

ericdj 发表于 2015-10-14 16:02
不，清理是清理，修复是修复。。。
wd的修复要看日志……

不，WD的修复就是清理，但实际上删除也并非删除，你看44楼吧

驭龙

wjy19800315 发表于 2015-10-14 09:53
看日志应该不是36个吧

你看一下43样本报几次吧

EnZhSTReLniKoVa

驭龙 发表于 2015-10-14 16:06
不，WD的修复就是清理，但实际上删除也并非删除，你看44楼吧

看来跟GD一样， 即使点了删除  还是会给你修复的。。

驭龙

君陌潇 发表于 2015-10-14 16:11
看来跟GD一样， 即使点了删除  还是会给你修复的。。

GD没有用过，没想到还有跟MA一样这么玩的啊，不过这也没啥不好的，不是吗？

伽蓝迹丶舞风

ericdj 发表于 2015-10-14 16:02
不，清理是清理，修复是修复。。。
wd的修复要看日志……

WD的日志在哪里看呀果然还是简单智能的小a适合我
所以，其实我想表达的意思是，不管是仔细看日志还是用其他方法确认
大家最好能确保最后放出来的结果是准确的，虽然我们只是凭个人爱好在这里弄这些小测试
但是既然我们把结果发出去了，就可能让其他人对杀软的选择和认知产生影响。
我觉得即使是业余的，也要本着公平公正的原则，数据有错误的地方要及时改正

EnZhSTReLniKoVa

驭龙 发表于 2015-10-14 16:17
GD没有用过，没想到还有跟MA一样这么玩的啊，不过这也没啥不好的，不是吗？

是的，还是有好处的。不过最近上报一些样本  发现GD 跟BD的病毒库是共享的，只要BD一入库的  GD的自己引擎 就不会入库。 但GD会网页访问被拒绝

比如这贴：http://bbs.kafan.cn/thread-1857362-1-1.html

早上更新后下载扫描：
病毒扫描 G DATA 互联网安全套装
版本 25.1.0.8 (2015/7/28)
病毒库日期 2015/10/14
开始时间： 2015/10/14 10:13:37
引擎： 引擎A (AVA 25.3868), 引擎B (GD 25.5752)
启发式： 开启
文件： 开启
系统区域： 关闭
扫描Rootkits： 关闭

扫描以下目录和文件：
   C:\Users\Natsukihanae\Desktop\uioiugya44.exe

扫描完成于： 2015/10/14 10:13:38
     1个文件已扫描
     已发现1个受感染文件
     0个可疑文件已发现


对象：: uioiugya44.exe
         路径：: C:\Users\Natsukihanae\Desktop
         状态：: 病毒已被清除
         病毒：: Trojan.Agent.BNLK (引擎A)


刚才直接去下载文件直接被拦截：

病毒: Trojan.Agent.BNLK (引擎A)

下载网页内容时发现病毒。

地址: https://att.kafan.cn/forum.php?mo ... Dk2NTk2NnwxODU3MzYy
状态：         访问被拒绝。



早上起床，GDATA官方的邮件回复;

Dear Customer,
We have received a response from our Security Labs concerning your sample submission. Please find their analysis below:
The submitted file is currently detected by us as Trojan.Agent.BNLK (Engine A).
We encourage you to keep your virus definitions up to date