楼主: 月影天心
收起左侧

[技术探讨] WD似乎监控存在一些问题,有时候隔离整个压缩包,有时候不隔离,怎么回事??

[复制链接]
驭龙
发表于 2016-6-11 11:00:30 | 显示全部楼层
c68111c 发表于 2016-6-11 10:41
這個我關監控 就掃到了,也移除了

其实你没有发现一个问题,看楼主的截图,报的文件大多数是在FilesStash文件夹位置,这才是根源问题,大多数用户可能不会出现这情况
c68111c
发表于 2016-6-11 11:11:30 | 显示全部楼层
驭龙 发表于 2016-6-11 11:00
其实你没有发现一个问题,看楼主的截图,报的文件大多数是在FilesStash文件夹位置,这才是根源问题,大多 ...

在wd的資料夾底下

也是挺奇怪的


驭龙
发表于 2016-6-11 11:13:38 | 显示全部楼层
c68111c 发表于 2016-6-11 11:11
在wd的資料夾底下

也是挺奇怪的

我现在准备启动WD,然后一会儿测试运行一下,看看我的情况
驭龙
发表于 2016-6-11 11:24:09 | 显示全部楼层
本帖最后由 驭龙 于 2016-6-11 11:31 编辑
c68111c 发表于 2016-6-11 11:11
在wd的資料夾底下

也是挺奇怪的


我测试一下,下载这个文件,直接被WD劫持过去了,下载位置并没有产生下载的文件,而且WD提示重启才能清除文件


而且问题在于这个样本是云DSS杀,所以网络不稳定的情况下,容易出现有时候杀有时候不杀的问题
Internal signature match:subtype=Lowfi, sigseq=0x00000555CB622023, signame=#LowFiWSFChildFileHasIOAVURL, cached=false, resource="\\?\C:\Users\1234\Downloads\Microsoft Excel.rar->Microsoft Excel.WsF"
2016-06-11T03:18:37.722Z Dynamic signature received
Dynamic Signature has been received
Dynamic Signature Type:Signature Update

Signature Path:C:\ProgramData\Microsoft\Windows Defender\Scans\\RtSigs\Data\2f8b74e7798bdea5f410ecf0ee93599a71a80c1c
Dynamic Signature Compilation Timestamp:06-11-2016 11:18:38
Persistence Type:VDM Version
Source Version:282432840794113
Expiration Version:282432840794113
2016-06-11T03:18:38.187Z DETECTIONEVENT Worm:VBS/Jenxcus.DN containerfile:C:\Users\1234\Downloads\Microsoft Excel.rar;file:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\C0B6727E-60DE-E061-32A6-45D071DD2358_1d1c4591c6100c6;file:C:\Users\1234\Downloads\Microsoft Excel.rar->Microsoft Excel.WsF;internalfileproxy:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\C0B6727E-60DE-E061-32A6-45D071DD2358_1d1c4591c6100c6|C:\Users\1234\Downloads\Microsoft Excel.rar;webfile:C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{C5CC63D1-D4EA-4C5B-ACEE-95FF464C730F}-Microsoft Excel.rar|browser_broker.exe;webfile:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\C0B6727E-60DE-E061-32A6-45D071DD2358_1d1c4591c6100c6|https://att.kafan.cn/forum.php?mo ... DMzNTMwMXwyMDQ0MDky|browser_broker.exe;webfile:C:\Users\1234\Downloads\Microsoft Excel.rar|https://att.kafan.cn/forum.php?mo ... DMzNTMwMXwyMDQ0MDky|browser_broker.exe;
2016-06-11T03:18:38.198Z DETECTION_ADD Worm:VBS/Jenxcus.DN containerfile:C:\Users\1234\Downloads\Microsoft Excel.rar
2016-06-11T03:18:38.198Z DETECTION_ADD Worm:VBS/Jenxcus.DN file:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\C0B6727E-60DE-E061-32A6-45D071DD2358_1d1c4591c6100c6
2016-06-11T03:18:38.198Z DETECTION_ADD Worm:VBS/Jenxcus.DN file:C:\Users\1234\Downloads\Microsoft Excel.rar->Microsoft Excel.WsF
2016-06-11T03:18:38.198Z DETECTION_ADD Worm:VBS/Jenxcus.DN internalfileproxy:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\C0B6727E-60DE-E061-32A6-45D071DD2358_1d1c4591c6100c6|C:\Users\1234\Downloads\Microsoft Excel.rar
2016-06-11T03:18:38.198Z DETECTION_ADD Worm:VBS/Jenxcus.DN webfile:C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{C5CC63D1-D4EA-4C5B-ACEE-95FF464C730F}-Microsoft Excel.rar|browser_broker.exe
2016-06-11T03:18:38.198Z DETECTION_ADD Worm:VBS/Jenxcus.DN webfile:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\C0B6727E-60DE-E061-32A6-45D071DD2358_1d1c4591c6100c6|https://att.kafan.cn/forum.php?mo ... DMzNTMwMXwyMDQ0MDky|browser_broker.exe
2016-06-11T03:18:38.199Z DETECTION_ADD Worm:VBS/Jenxcus.DN webfile:C:\Users\1234\Downloads\Microsoft Excel.rar|https://att.kafan.cn/forum.php?mo ... DMzNTMwMXwyMDQ0MDky|browser_broker.exe
Begin Resource Scan
Scan ID:{184596A2-99FC-443C-BEBF-7665A6E0D228}
Scan Source:4
Start Time:06-11-2016 11:18:37
End Time:06-11-2016 11:18:38
Explicit resource to scan
Resource Schema:webfile
Resource Path:C:\Users\1234\Downloads\Microsoft Excel.rar|https://att.kafan.cn/forum.php?mo ... DMzNTMwMXwyMDQ0MDky|browser_broker.exe
Result Count:1
Threat Name:Worm:VBS/Jenxcus.DN
ID:2147689022
Severity:5
Number of Resources:6
Resource Schema:internalfileproxy
Resource Path:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\C0B6727E-60DE-E061-32A6-45D071DD2358_1d1c4591c6100c6|C:\Users\1234\Downloads\Microsoft Excel.rar
Extended Info:42225906181234
Resource Schema:file
Resource Path:C:\Users\1234\Downloads\Microsoft Excel.rar->Microsoft Excel.WsF
Extended Info:42225906181234
Resource Schema:file
Resource Path:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\C0B6727E-60DE-E061-32A6-45D071DD2358_1d1c4591c6100c6
Extended Info:42225906181234
Resource Schema:webfile
Resource Path:C:\Users\1234\Downloads\Microsoft Excel.rar|https://att.kafan.cn/forum.php?mo ... DMzNTMwMXwyMDQ0MDky|browser_broker.exe
Extended Info:0
Resource Schema:webfile
Resource Path:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\C0B6727E-60DE-E061-32A6-45D071DD2358_1d1c4591c6100c6|https://att.kafan.cn/forum.php?mo ... DMzNTMwMXwyMDQ0MDky|browser_broker.exe
Extended Info:42225906181234
Resource Schema:containerfile
Resource Path:C:\Users\1234\Downloads\Microsoft Excel.rar
Extended Info:0
End Scan

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
c68111c
发表于 2016-6-11 11:43:21 | 显示全部楼层
本帖最后由 c68111c 于 2016-6-11 11:46 编辑
驭龙 发表于 2016-6-11 11:24
我测试一下,下载这个文件,直接被WD劫持过去了,下载位置并没有产生下载的文件,而且WD提示重启才能清 ...


我的正式版win10
用的是火狐+idm下載

下載沒攔截

解壓時攔截

containerfile:C:\Users\gary\Downloads\Compressed\Microsoft Excel.WsF
file:C:\Users\gary\Downloads\Compressed\Microsoft Excel.WsF->[WsfCmtOut]->(SCRIPT0000)

路徑也沒有微軟資料夾,和你不太一樣

另外你的詳細資料是從事件檢視器看的嗎

還有一點,攔截只攔截解壓物,事後壓縮檔還在,繼續解壓他的話wd照樣殺,只是不動壓縮檔,除非掃描他
驭龙
发表于 2016-6-11 11:45:42 | 显示全部楼层
本帖最后由 驭龙 于 2016-6-11 11:47 编辑
c68111c 发表于 2016-6-11 11:43
我的正式版win10
用的是火狐+idm下載

火狐那是自然的,因为火狐不能跟WD联动,你用Edge就可以像我那样拦截了,如果用WD,最好用Edge浏览器或者IE

详细信息位于
"C:\ProgramData\Microsoft\Windows Defender\Support\MPLog-xxxxxxx-xxxxxxx.log"
HEMM
发表于 2016-6-11 14:39:12 | 显示全部楼层
本帖最后由 HEMM 于 2016-6-11 14:40 编辑

没发现过这个问题,我很久没有关注WD了,因为和BUG豆搭配我这边出现了其他人没有的症状,就是可隔离但无法还原,系统日志会记录下WD的错误日志.....WD的服务也受到影响,貌似打不赢BUG豆。
我不死心,调试了很多次后,依然是无法还原,就放弃了。
不过确实我有发现报,但是文件依然在原处的问题,因为我这边一旦处理是无法还原的,除非不安装BUG豆,但是系统提示处理了威胁,威胁还在原地的情况发现过2次,不是很在意......因为我更在意的是毛豆的抽风,我的使用环境逼迫我对HIPS的重视度大于安软。
月影天心
 楼主| 发表于 2016-6-11 16:24:46 | 显示全部楼层
本帖最后由 月影天心 于 2016-6-11 16:32 编辑
c68111c 发表于 2016-6-11 10:41
這個我關監控 就掃到了,也移除了


奇怪的情况,我这边WD扫描不报,但监控会提示恶意,云不参与WD的扫描吗?
月影天心
 楼主| 发表于 2016-6-11 16:27:19 | 显示全部楼层
本帖最后由 月影天心 于 2016-6-11 16:31 编辑
驭龙 发表于 2016-6-11 11:24
我测试一下,下载这个文件,直接被WD劫持过去了,下载位置并没有产生下载的文件,而且WD提示重启才能清 ...


我测试过几次,有时候直接被杀,下载位置同样不会产生文件也出现过提示类似的重启后删除的情况;但有时候下载位置文件正常生成,此时WD也会提示发现威胁,但处理了后原始文件仍然在,看WD的查杀情况就是位于FilesStash文件夹

而且非常奇怪,我关闭WD监控手动扫描这个压缩包,WD给我报安全,是不是WD的云不参与扫描的?开启监控后WD又报威胁,然后完全随机化的进行处理,这是新引擎的问题?太匪夷所思了
驭龙
发表于 2016-6-11 16:29:55 | 显示全部楼层
月影天心 发表于 2016-6-11 16:27
我测试过几次,有时候直接被杀,下载位置同样不会产生文件,也出现过提示类似的重启后删除的情况;但有时 ...
但有时候下载位置文件正常生成,此时WD也会提示发现威胁,但处理了后原始文件仍然在,看WD的查杀情况就是位于FilesStash文件夹

这个就明显的网络不稳定原因吧,毕竟你那里也有
有时候直接被杀,下载位置同样不会产生文件,也出现过提示类似的重启后删除的情况;
情况,所以很有可能就是云稳定性的问题
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 22:03 , Processed in 0.100394 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表