精睿样本测试（16.10.11）

T.Yoshiyuki

ccboxes 发表于 2016-10-11 13:48
BD kill 30x   fix 2x

BD您老歇着 兒子我FS來了

殺31x（設置默認隔離 設置爲默認修復反而會失敗然後什麼也不做……）



[mw_shl_code=css,true]結果: マルウェア 31 が検出されました。
Trojan.GenericKD.3549004 (ウイルス) •D:\TEST\daily\2016.10.11\03.vir.exe 処理: 隔離保存済み
Generic.JS.NemucodC.2EF28D29 (ウイルス) •D:\TEST\daily\2016.10.11\01.vir.JS 処理: 隔離保存済み
Trojan.Generic.19207032 (ウイルス) •D:\TEST\daily\2016.10.11\04.vir.exe 処理: 隔離保存済み
Generic.JS.NemucodA.40BA92B8 (ウイルス) •D:\TEST\daily\2016.10.11\10.vir.txt 処理: 隔離保存済み
Trojan.GenericKD.3586534 (ウイルス) •D:\TEST\daily\2016.10.11\07.vir.exe 処理: 隔離保存済み
Trojan.GenericKD.3582851 (ウイルス) •D:\TEST\daily\2016.10.11\12.vir.exe 処理: 隔離保存済み
Gen:Variant.Barys.53639 (ウイルス) •D:\TEST\daily\2016.10.11\15.vir.exe 処理: 隔離保存済み
•D:\TEST\daily\2016.10.11\33.vir.exe 処理: 隔離保存済み
Trojan.Generic.19217790 (ウイルス) •D:\TEST\daily\2016.10.11\16.vir.exe 処理: 隔離保存済み
Trojan.GenericKD.3581649 (ウイルス) •D:\TEST\daily\2016.10.11\17.vir.JS 処理: 隔離保存済み
Trojan.GenericKD.3583587 (ウイルス) •D:\TEST\daily\2016.10.11\18.vir.exe 処理: 隔離保存済み
Gen:Variant.Razy.96585 (ウイルス) •D:\TEST\daily\2016.10.11\20.vir.exe 処理: 隔離保存済み
Trojan:W97M/Nastjencro.A (ウイルス) •D:\TEST\daily\2016.10.11\21.vir.DOC 処理: 隔離保存済み
Trojan.GenericKD.3588072 (ウイルス) •D:\TEST\daily\2016.10.11\24.vir.dll 処理: 隔離保存済み
Trojan.GenericKD.3583687 (ウイルス) •D:\TEST\daily\2016.10.11\25.vir.exe 処理: 隔離保存済み
Trojan.JS.Downloader.FUS (ウイルス) •D:\TEST\daily\2016.10.11\26.vir.html 処理: 隔離保存済み
Suspicious:W32/Malware!Gemini (感染の疑いのあるファイル) •D:\TEST\daily\2016.10.11\23.vir.exe 処理: 隔離保存済み
Trojan.Generic.19228559 (ウイルス) •D:\TEST\daily\2016.10.11\29.vir.exe 処理: 隔離保存済み
Gen:Variant.Jaiks.1468 (ウイルス) •D:\TEST\daily\2016.10.11\32.vir.exe 処理: 隔離保存済み
Trojan.GenericKD.3581175 (ウイルス) •D:\TEST\daily\2016.10.11\31.vir.exe 処理: 隔離保存済み
W97m.Downloader.EMV (ウイルス) •D:\TEST\daily\2016.10.11\39.vir.DOC 処理: 隔離保存済み
•D:\TEST\daily\2016.10.11\45.vir.DOC 処理: 隔離保存済み
•D:\TEST\daily\2016.10.11\46.vir.DOC 処理: 隔離保存済み
•D:\TEST\daily\2016.10.11\50.vir.DOC 処理: 隔離保存済み
W97M.Downloader.ENA (ウイルス) •D:\TEST\daily\2016.10.11\40.vir.XLS 処理: 隔離保存済み
Trojan.RanSerKD.3578712 (ウイルス) •D:\TEST\daily\2016.10.11\42.vir.dll 処理: 隔離保存済み
Trojan.GenericKD.3582430 (ウイルス) •D:\TEST\daily\2016.10.11\41.vir.JS 処理: 隔離保存済み
Trojan.Generic.19030036 (ウイルス) •D:\TEST\daily\2016.10.11\43.vir.exe 処理: 隔離保存済み
Trojan.GenericKD.3581095 (ウイルス) •D:\TEST\daily\2016.10.11\44.vir.exe 処理: 隔離保存済み
Trojan.GenericKD.3582917 (ウイルス) •D:\TEST\daily\2016.10.11\47.vir.dll 処理: 隔離保存済み
Trojan-Downloader:X97M/Locky.AE (ウイルス) •D:\TEST\DAILY\2016.10.11\49.VIR.XLSM 処理: 隔離保存済み
[/mw_shl_code]

看到了吧？竟然比老子多1個
[mw_shl_code=css,true]Suspicious:W32/Malware!Gemini (感染の疑いのあるファイル)
•D:\TEST\daily\2016.10.11\23.vir.exe 処理: 隔離保存済み
[/mw_shl_code]

FS的啓發引擎Gemini終於發威啦！

@小小瞻 BG 你看看你

T.Yoshiyuki

欧阳宣 发表于 2016-10-11 14:35
f-secure
检测31个

哦哦 FSP也一樣嘛
FS的手動掃描建議默認隔離……否則會有各種清毒不成而skipped
23號啓發引擎發威

ys0516

NS

检出25X，剩余25X

欧阳宣

T.Yoshiyuki 发表于 2016-10-11 13:41
哦哦 FSP也一樣嘛
FS的手動掃描建議默認隔離……否則會有各種清毒不成而skipped
23號啓發引擎發威

默认直接删除那和emsi就没区别了

其实还是能够删除/清除一些的

轩夏

MSE 好少

[mw_shl_code=css,true]Scan started on Tue Oct 11 13:54:56 2016

C:\Users\XuanXia\Desktop\2016.10.11\01.vir                     Infected: TrojanDownloader:JS/Swabfex!rfn
C:\Users\XuanXia\Desktop\2016.10.11\07.vir                     Infected: Backdoor:MSIL/Bladabindi
C:\Users\XuanXia\Desktop\2016.10.11\10.vir                     Infected: TrojanDownloader:JS/Swabfex.C
C:\Users\XuanXia\Desktop\2016.10.11\15.vir                     Infected: VirTool:MSIL/Asemlod.B
C:\Users\XuanXia\Desktop\2016.10.11\21.vir                     Infected: TrojanDropper:O97M/Donoff
C:\Users\XuanXia\Desktop\2016.10.11\24.vir                     Infected: Backdoor:Win32/Vawtrak.C
C:\Users\XuanXia\Desktop\2016.10.11\25.vir                     Infected: Ransom:Win32/Ranscrape
C:\Users\XuanXia\Desktop\2016.10.11\26.vir                     Infected: TrojanDownloader:JS/Nemucod.FG
C:\Users\XuanXia\Desktop\2016.10.11\33.vir                     Infected: VirTool:MSIL/Asemlod.B
C:\Users\XuanXia\Desktop\2016.10.11\37.vir                     Infected: TrojanDownloader:JS/Nemucod
C:\Users\XuanXia\Desktop\2016.10.11\39.vir                     Infected: TrojanDownloader:O97M/Donoff
C:\Users\XuanXia\Desktop\2016.10.11\42.vir                     Infected: Ransom:Win32/Locky
C:\Users\XuanXia\Desktop\2016.10.11\45.vir                     Infected: TrojanDownloader:O97M/Donoff
C:\Users\XuanXia\Desktop\2016.10.11\46.vir                     Infected: TrojanDownloader:O97M/Donoff
C:\Users\XuanXia\Desktop\2016.10.11\49.vir->xl/vbaProject.bin  Infected: TrojanDownloader:O97M/Donoff!rfn
C:\Users\XuanXia\Desktop\2016.10.11\50.vir                     Infected: TrojanDownloader:O97M/Donoff
Successfully checked: C:\Users\XuanXia\Desktop\2016.10.11

Scan ended on Tue Oct 11 13:55:18 2016

Time: 22 second(s). [0h:00m:22s]
Files/second: 5 (686 Kb/s).
Objects scanned: 118.
Infected: 16. Suspicious: 0. Clean: 102. Different virus bodies: 12.
Files: 50. Directories: 1. Archives: 4. Packed: 4. Mail files: 0.
Warnings: 16. Scan errors: 0. Protected: 0. Damaged: 0. Unknown method: 0. Spanned: 0.[/mw_shl_code]

T.Yoshiyuki

欧阳宣 发表于 2016-10-11 14:51
默认直接删除那和emsi就没区别了

其实还是能够删除/清除一些的

其實本來就沒什麼區別（笑
大概它們都是爲了引擎的效率犧牲了修復 所以我們看到EMS和FS（BG我不知道）的BD引擎掃描、清理速度都是BD本家的幾倍（特別是EMS 做了優化 簡直風馳電掣） 資源佔用也小一點
代價就是沒修復……

根據我用FS的經驗 手動掃描默認修復的話
遇到word文檔一般都修復不了而跳過 大部分壓縮包也是修復不了而跳過
而監控因爲不能設置默認處理方式 所以一般都是清楚失敗然後拒絕訪問

今天的樣本 若設置爲默認修復 則

四個宏病毒跳過
[mw_shl_code=css,true]W97m.Downloader.EMV (ウイルス)
•D:\TEST\daily\2016.10.11\39.vir.DOC
•D:\TEST\daily\2016.10.11\45.vir.DOC
•D:\TEST\daily\2016.10.11\46.vir.DOC
•D:\TEST\daily\2016.10.11\50.vir.DOC
[/mw_shl_code]

一個exe失敗
[mw_shl_code=css,true]Suspicious:W32/Malware!Gemini (感染の疑いのあるファイル)
•D:\TEST\daily\2016.10.11\23.vir.exe 処理: 失敗
[/mw_shl_code]

就一個doc修復成功的
[mw_shl_code=css,true]Trojan:W97M/Nastjencro.A (ウイルス)
•D:\TEST\daily\2016.10.11\21.vir.DOC 処理: 駆除済み
[/mw_shl_code]

歸根結底還是FS沒有“清除失敗則隔離”這種機制……吧

欧阳宣

T.Yoshiyuki 发表于 2016-10-11 14:06
其實本來就沒什麼區別（笑
大概它們都是爲了引擎的效率犧牲了修復 所以我們看到EMS和FS（BG我不知道） ...

我去问过为什么没有清除失败则隔离，他们的回复是不能清除的威胁一般都是压缩包格式，直接删除整个压缩包是危险的

……有威胁删不掉一样很危险

小小瞻

T.Yoshiyuki 发表于 2016-10-11 13:39
BD您老歇着 兒子我FS來了

殺31x（設置默認隔離 設置爲默認修復反而會失敗然後什麼也不做…… ...

BullGuard的结果已经更新，请重新查看我的帖子。

T.Yoshiyuki

欧阳宣 发表于 2016-10-11 15:13
我去问过为什么没有清除失败则隔离，他们的回复是不能清除的威胁一般都是压缩包格式，直接删除整个压缩包 ...

FS廠商太死板了 像avast一樣先告知危險性 然後提供 1、刪 2、不刪 3、不理他 三種選項就好了
當然avast的可定製性是不可複製的

小小瞻

ccboxes 发表于 2016-10-11 12:48
BD kill 30x   fix 2x

请教一个问题，你每次测试时BD的监控是打开还是关闭的？因为BG打开或关闭监控时修复能力是不同的。