File name: 903E.tmp.exe Detection ratio: 2 / 52 加密勒索挂马

显示全部楼层 · 发表于 2016-1-27 20:51:47

275751198 发表于 2016-1-27 20:49
360主防有个bug，我以前常遇到i，同一个未入库的样本，第一次运行弹风险框拦截，第二次再运行就不拦了。 ...

这样啊，可惜数字第一次就失手了

显示全部楼层 · 发表于 2016-1-27 20:53:24

windows7爱好者发表于 2016-1-27 20:51
我是win10 x64

对了你测试的是国际版还是国内版？

显示全部楼层 · 发表于 2016-1-27 20:54:01

vm001 发表于 2016-1-27 20:53
对了你测试的是国际版还是国内版？

国内

显示全部楼层 · 发表于 2016-1-27 20:55:40

windows7爱好者发表于 2016-1-27 20:54
国内

那就肯定是防御问题了

显示全部楼层 · 发表于 2016-1-28 12:15:28

vm001 发表于 2016-1-27 20:55
那就肯定是防御问题了

可以请官方再次验证一下在win10 X64下防御是否失效

显示全部楼层 · 发表于 2016-1-28 12:16:22

ericdj 发表于 2016-1-27 20:35
EAM&MBAM 右键miss

双击，EAM

拉黑IP而已

显示全部楼层 · 发表于 2016-1-28 12:46:41

墨家小子发表于 2016-1-28 12:15
可以请官方再次验证一下在win10 X64下防御是否失效

不知道找谁

显示全部楼层 · 发表于 2016-1-28 13:37:21

墨家小子发表于 2016-1-28 12:16
拉黑IP而已

上午测试Quicky Translator，沙箱里跑……

EAM拉黑了一个衍生物，然后我就没管，以为程序停止运行了……

然后测试精睿包，关掉了所有的文件监控，刚测试，界面就显示勒索信息

吓死宝宝了，然后赶紧清空了沙箱

显示全部楼层 · 发表于 2016-1-28 13:51:51

ericdj 发表于 2016-1-28 13:37
上午测试Quicky Translator，沙箱里跑……

EAM拉黑了一个衍生物，然后我就没管，以为程序停止运行了… ...

因为样本是注入了系统程序，你不注销不重启，那个被注入的系统程序一旦连回木马服务器就会加密

显示全部楼层 · 发表于 2016-1-28 14:10:36

vm001 发表于 2016-1-28 12:46
不知道找谁

275751198应该行吧

，另外你仔细看可以发现数字在7和10上弹窗是不一样的，7上是拦截系统进程对文档图片的修改，是整体化的，而我这是单个文件的单步操作，所以我觉得防御失败了是这个原因。

[可疑文件] File name: 903E.tmp.exe Detection ratio: 2 / 52 加密勒索挂马