远控木马一个

显示全部楼层 · 发表于 2016-1-3 18:40:43

aboringman 发表于 2016-1-3 18:38
那就有趣了，不是AEGIS杀的，难道是监控？
会不会是与延迟扫描有关系。。。。。。

我最近双击经常看到一种HEU_xxxxxxx的报法，不是Aegis也不是监控，还没有具体研究过，应该是一种启发？

显示全部楼层 · 发表于 2016-1-3 18:42:49

驭龙发表于 2016-1-3 18:40
我最近双击经常看到一种HEU_xxxxxxx的报法，不是Aegis也不是监控，还没有具体研究过，应该是一种启发？

有趣，我也双击看看，趋势的启发报法好像也只出现在双击时，这个我也遇到过，我当时把它看成回滚。。。。。。

显示全部楼层 · 发表于 2016-1-3 18:42:57

样本包在18:19、18:40到达Bitdefender实验室，入不入库由天注定

显示全部楼层 · 发表于 2016-1-3 18:44:19

ESET对这种只能入库

显示全部楼层 · 发表于 2016-1-3 18:51:33

aboringman 发表于 2016-1-3 18:42
有趣，我也双击看看，趋势的启发报法好像也只出现在双击时，这个我也遇到过，我当时把它看成回滚。。。。 ...

是啊，很有趣的HEU 启发

看这种报法是报的衍生物。

原先样本包里的DLL却没有杀，可能是动态启发？

显示全部楼层 · 发表于 2016-1-3 18:52:35

本帖最后由 ther 于 2016-1-3 18:58 编辑

我的锅，看错了。。。。。。

显示全部楼层 · 发表于 2016-1-3 18:55:21

驭龙发表于 2016-1-3 18:51
是啊，很有趣的HEU 启发

看这种报法是报的衍生物。

这个CDPLCXXX报法我见过，它是包含在根本原因分析报告里面，但你说不是回滚的话，就有可能是了。

显示全部楼层 · 发表于 2016-1-3 18:56:52

双击A2拦了，然后电脑炸了..

显示全部楼层 · 发表于 2016-1-3 18:58:33

aboringman 发表于 2016-1-3 18:55
这个CDPLCXXX报法我见过，它是包含在根本原因分析报告里面，但你说不是回滚的话，就有可能是了。

因为之前测试的时候有的没有这种报法也回滚了，回滚应该是只有Aegis报毒名，除非衍生物被特征识别才会有其他报毒名

显示全部楼层 · 发表于 2016-1-3 18:59:13

ther 发表于 2016-1-3 18:52
我的锅，看错了。。。。。。

这个就奇怪了

[病毒样本] 远控木马一个