H网下的，谁测试一下，大部分是冷门杀软在报！！

蓝天二号

导演AZ 发表于 2016-6-16 11:26
你这样子变相发福利不好吧

天下乌鸦一般黑，，

540923555

ELOHIM 发表于 2016-6-16 00:28
你好，还有历史记录吗？

还是右键扫不出来，但是没开监控，过了一会就报了。。。难道是云响应。。。。

ELOHIM

540923555 发表于 2016-6-16 19:52
还是右键扫不出来，但是没开监控，过了一会就报了。。。难道是云响应。。。。

你有开启MAPS和自动提交样本对吧，可能是这样。具体我也搞不清楚。
不过自动提交样本的分析结果可能没有这么快。
可能如你所说是云端的结果。

liulangzhecgr

蓝天二号 发表于 2016-6-15 13:52
成功运行，，，，，估计是敲诈。。。

你是游客？！
我是大师！


退出播放器时：

2016/6/17 10:42:55    创建文件    允许
进程: g:\download\私密快播_ac7_670\私密快播_ac7_670.exe
目标: C:\360.ico
规则: [应用程序组]病毒测试 -> [文件]?:\

2016/6/17 10:43:07    创建文件    允许
进程: g:\download\私密快播_ac7_670\私密快播_ac7_670.exe
目标: C:\Users\baba\Desktop\36O浏览器.lnk
规则: [应用程序组]病毒测试 -> [应用程序]g:\download\私密快播_ac7_670\私密快播_ac7_670.exe -> [文件]c:\users\*

2016/6/17 10:43:13    创建文件    允许
进程: g:\download\私密快播_ac7_670\私密快播_ac7_670.exe
目标: C:\taobao.ico
规则: [应用程序组]病毒测试 -> [文件]?:\

2016/6/17 10:43:19    创建文件    允许
进程: g:\download\私密快播_ac7_670\私密快播_ac7_670.exe
目标: C:\Users\baba\Desktop\淘宝网+.lnk
规则: [应用程序组]病毒测试 -> [应用程序]g:\download\私密快播_ac7_670\私密快播_ac7_670.exe -> [文件]c:\users\*

540923555

ELOHIM 发表于 2016-6-16 21:08
你有开启MAPS和自动提交样本对吧，可能是这样。具体我也搞不清楚。
不过自动提交样本的分析结果可能没有 ...

自动提交样本不会这么快，更何况我上午就这样查杀出来的，云端应该入库了才对，下午更新病毒库还没有。。。
我开始怀疑A!cl这个病毒分类里面cl的含义是cloud的开头字母

540923555

ELOHIM 发表于 2016-6-16 21:08
你有开启MAPS和自动提交样本对吧，可能是这样。具体我也搞不清楚。
不过自动提交样本的分析结果可能没有 ...

今天的包又一个，扫完过了约5分钟才报出来的。。。我都去干别的事了，突然弹出消息。。。。又是cl结尾的病毒类型


@驭龙

驭龙

540923555 发表于 2016-6-17 13:11
今天的包又一个，扫完过了约5分钟才报出来的。。。我都去干别的事了，突然弹出消息。。。。又是cl结尾 ...

"C:\ProgramData\Microsoft\Windows Defender\Support\MPLog-xxxxxxxxxxxxxx.log"
可查看是否是动态签名服务杀，也就是云杀

另外现在基本确定后面有CL的与云和信誉有关，怀疑是Cloud Learning缩写，当然只是猜测，我很久没有玩WD了
==============================================
刚刚确认一下，此样本确实是云杀

Internal signature match:subtype=Lowfi, sigseq=0x000005552395AA41, signame=#Lowfi:FOP:VirTool:Win32/Nspack.A, cached=false, resource="(NSPack)"
Internal signature match:subtype=Lowfi, sigseq=0x000050783FA83530, signame=ALF:HSTR:Trojan:Win32/Dcymth.G!bit, cached=false, resource="(NSPack)"
2016-06-17T06:08:13.273Z Dynamic signature received
Dynamic Signature has been received
Dynamic Signature Type:Signature Update
Signature Path:C:\ProgramData\Microsoft\Windows Defender\Scans\\RtSigs\Data\6c36b25b58cb225f24e43cb903dedc5fdd7e9ec9
Dynamic Signature Compilation Timestamp:06-17-2016 14:08:12
Persistence Type:VDM Version
Source Version:282432872382465
Expiration Version:282432872382465
Begin Resource Scan
Scan ID:{92AF9D99-CE79-45DC-AD76-F9672B455BFD}
Scan Source:3
Start Time:06-17-2016 14:08:14
End Time:06-17-2016 14:08:14
Explicit resource to scan
Resource Schema:file
Resource Path:E:\VIR\Cryptowall\私密快播_AC7_670\私密快播_AC7_670.exe
Result Count:1
Threat Name:Trojan:Win32/Hiclas.A!cl
ID:2147695300
Severity:5
Number of Resources:1
Resource Schema:file
Resource Path:E:\VIR\Cryptowall\私密快播_AC7_670\私密快播_AC7_670.exe
Extended Info:42226104902864
End Scan

关于Trojan:Win32/Hiclas.A!cl报毒名，确实是机器学习的云技术
https://www.microsoft.com/securi ... 00&enterprise=0

ELOHIM

540923555 发表于 2016-6-17 11:48
自动提交样本不会这么快，更何况我上午就这样查杀出来的，云端应该入库了才对，下午更新病毒库还没有 ...

cl=cloud

骚年，我看你骨骼清奇，是一块练武奇才。

云杀可能大概maybe 会需要MAPS。

540923555

ELOHIM 发表于 2016-6-17 15:12
cl=cloud

骚年，我看你骨骼清奇，是一块练武奇才。

云端肯定需要上传，但是上传也分两种，一种是上传后和云端病毒特征码比对认定为病毒的（也就是：基于云的保护）。另一种是提交以后进行分析的，自动入库（也就是：自动提交示例）。我这个应该是前一种，后一种至少需要几个小时的时间

540923555

驭龙 发表于 2016-6-17 13:19
"C:\ProgramData\Microsoft\Windows Defender\Support\MPLog-xxxxxxxxxxxxxx.log"
可查看是否是动态签 ...

Internal signature match:subtype=Lowfi, sigseq=0x0000157E25A5876D, signame=ALF:Win32/Dacic.A!rfn, cached=false, resource="\Device\HarddiskVolume5\Users\夜神 悦\Desktop\infected\2016.6.17\16.vir"
Dynamic Signature has been received
Dynamic Signature Type:Signature Update
Signature Path:C:\ProgramData\Microsoft\Windows Defender\Scans\\RtSigs\Data\8b32128b795c570632d7acc54c5e64b822063c0f
Dynamic Signature Compilation Timestamp:06-17-2016 13:07:16

果然有。。。