恶意软件（2016-09-25）

heishen2010

恶意软件（2016-09-25）时时更新！

https://www.ts-safe.org.cn/malware/2016/09/25/

ytysh

BD Free all miss

蓝天二号

AVG

fireherman

样本共12x

ESET-NOD32 ESS 8 [v14174/20160924]

Total kill 8x

其中7x为解压删除（实时防护），1x为右键扫描（脱壳）

剩余4x，其中3x miss，1x双击运行后kill下载的文件（和BD不同，ESET似乎不太在乎云拉黑，更喜欢和病毒木马贴身肉搏 ）


[mw_shl_code=css,true]2016-9-25 8:41:26        文件系统实时防护        文件        E:\VirZ\7D0291E8E9F772092D132D2B10541D2E847504A1\dosustartse.exe        Win32/Filecoder.ED 特洛伊木马        通过删除清除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        7D0291E8E9F772092D132D2B10541D2E847504A1        2016-9-25 6:16:27
2016-9-25 8:41:19        文件系统实时防护        文件        E:\VirZ\6F85761D84541E5340A1709314A2838DA9BC482A\ywtjoo.scr        MSIL/Packed.Confuser.J 可疑应用程序 的变种        通过删除清除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        6F85761D84541E5340A1709314A2838DA9BC482A        2016-9-25 6:17:53
2016-9-25 8:41:05        文件系统实时防护        文件        E:\VirZ\FE72A3B8DD708050FAE2661119B944D5E80B4A3D\Tumblr sexy.exe        MSIL/Kryptik.EMQ 特洛伊木马 的变种        通过删除清除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        FE72A3B8DD708050FAE2661119B944D5E80B4A3D        2016-9-25 6:05:11
2016-9-25 8:41:00        文件系统实时防护        文件        E:\VirZ\7952A45CCD73B2D4923C52D91D9FB84B5BFF30A0\google.exe        MSIL/Bladabindi.BH 特洛伊木马        通过删除清除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        7952A45CCD73B2D4923C52D91D9FB84B5BFF30A0        2016-9-25 5:59:19
2016-9-25 8:40:49        文件系统实时防护        文件        E:\VirZ\27D8FC288B2F4DA89303356BC1B79378B9C9AC13\Install-Setup.vbs        VBS/Obfuscated.G 特洛伊木马        通过删除清除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        27D8FC288B2F4DA89303356BC1B79378B9C9AC13        2016-9-25 5:38:13
2016-9-25 8:40:37        文件系统实时防护        文件        E:\VirZ\50B1B0D9776BFB2EDA347D6D565909EEED2D5AB0\Image_4242.jpg.vbs        VBS/Kryptik.GC 特洛伊木马        通过删除清除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        50B1B0D9776BFB2EDA347D6D565909EEED2D5AB0        2016-9-25 5:36:38
2016-9-25 8:40:18        文件系统实时防护        文件        E:\VirZ\CB8F5E51D6D3D4299E0CDB4DD8C994CC8658F2A9\Oracle.EXE        Win32/HackTool.CheatEngine.AF 潜在的不安全应用程序 的变种        已删除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        CB8F5E51D6D3D4299E0CDB4DD8C994CC8658F2A9        2016-9-25 5:35:18[/mw_shl_code]

心醉咖啡

扫描时间：[2016-09-25 08:51:07]
扫描用时：[00:00:05]
扫描类型：自定义查杀
扫描文件总数：122
扫描速度：20文件/秒
发现威胁：2个
清除威胁：2个
=============================================
[2016-09-25 08:51:37]
威胁：f:\浏览器下载\恶意软件\7952a45ccd73b2d4923c52d91d9fb84b5bff30a0\google.exe
类型：heur.ssc.1608499.1216.(kcloud)
处理方式：删除

[2016-09-25 08:51:37]
威胁：f:\浏览器下载\恶意软件\2da16730f8d4a4b48de40b9ab3d444b28baffff9\intelmngr.exe
类型：win32.troj.generic_a.a.(kcloud)
处理方式：删除

蓝天二号

fireherman 发表于 2016-9-25 08:46
样本共12x

ESET-NOD32 ESS 8 [v14174/20160924]

和病毒木马贴身肉搏，，对于ESET来说 还嫩了点。。。

fireherman

蓝天二号 发表于 2016-9-25 08:57
和病毒木马贴身肉搏，，对于ESET来说 还嫩了点。。。

这倒不一定，只要病毒木马未运行（未加载），还是磁盘上的静态文件（如远控木马下载回来的DLL，只要ESET已经入库，文件实时防护优先级比任何程序都要高，未被加载就已经被干掉），ESET就可以强制删除。
（毛子简单粗暴？ESET告诉你：中欧的暴民可以比你更粗暴）

不过一旦病毒木马运行起来（已加载），那对于ESET来说就麻烦了。

蓝天二号

fireherman 发表于 2016-9-25 09:11
这倒不一定，只要病毒木马未运行（未加载），还是磁盘上的静态文件（如远控木马下载回来的DLL，只要ESE ...

我之前听说ESS清毒后 源文件还在，，，另外，HIPS 不编辑规则 那就是半残，，

fireherman

蓝天二号 发表于 2016-9-25 09:18
我之前听说ESS清毒后 源文件还在，，，另外，HIPS 不编辑规则 那就是半残，，

ESET清毒弱是公认的，洗不白。最免除后患的方法就是连文件一起删。

HIPS开自动就等于自保，开智能还是有点用的，毕竟ESET的查毒（监控）能力强……

智能模式就是等于：在病毒木马还未运行前，先下手为强，删删删……

蓝天二号

fireherman 发表于 2016-9-25 09:29
ESET清毒弱是公认的，洗不白。最免除后患的方法就是连文件一起删。

HIPS开自动就等于自保，开智 ...

看我的IDP 和病毒木马贴身肉搏，，，