【掛馬樣本】mang.exe VT(9/56)

显示全部楼层 · 发表于 2016-12-30 00:40:17

掛馬網址：geoprodukt.cz/system/helper/json/mang.bbk

VT(9/56)：https://www.virustotal.com/en/fi ... nalysis/1483029102/

Payload行為分析：
https://www.hybrid-analysis.com/ ... 5?environmentId=100

樣本載點(SHA256前六碼BE7C19，密碼infected)：

測試：
Zemana - Miss

显示全部楼层 · 发表于 2016-12-30 00:58:06

ESET kill [Suspicious Object] （拉黑）

显示全部楼层 · 发表于 2016-12-30 01:21:00

fireherman 发表于 2016-12-30 00:58
ESET kill [Suspicious Object] （拉黑）

ESET現在也有雲拉黑了？

显示全部楼层 · 发表于 2016-12-30 01:25:36

Agu 发表于 2016-12-30 01:21
ESET現在也有雲拉黑了？

本来就有，Live Gird（文件信誉，需联网检测），当信誉过低。

个人假设：

如果100是满分，20分就出现“红三角”，扫描不杀，但AMS（高级内存扫描）不让通过；

10分就直接拉黑当作病毒处理（未入库）。

显示全部楼层 · 发表于 2016-12-30 01:27:25

fireherman 发表于 2016-12-30 01:25
本来就有，Live Gird（文件信誉），当信誉过低。

个人假设：

記得以前Live Grid剛出來時是沒有的，不過是很好的一步。

會像SEP那種萬物殺，導致誤報率高嗎？

显示全部楼层 · 发表于 2016-12-30 01:31:06

Agu 发表于 2016-12-30 01:27
記得以前Live Grid剛出來時是沒有的，不過是很好的一步。

會像SEP那種萬物殺，導致誤報率高嗎？

不高，我还觉得太低呢。

看看卡巴、SEP、WD…… 最疯狂的还是小红伞……那个云……快得离谱。

显示全部楼层 · 发表于 2016-12-30 01:35:10

fireherman 发表于 2016-12-30 01:31
不高，我还觉得太低呢。

看看卡巴、SEP、WD…… 最疯狂的还是小红伞……那个云……快得离谱 ...

小紅傘拉黑速度很快，我另個帖子的樣本重傳好了，試試看是否一樣能拉黑

显示全部楼层 · 发表于 2016-12-30 01:36:48

Agu 发表于 2016-12-30 01:35
小紅傘拉黑速度很快，我另個帖子的樣本重傳好了，試試看是否一樣能拉黑

入库kill了

但是附件…… 你看看就知道。

显示全部楼层 · 发表于 2016-12-30 02:39:19

电脑管家MS

显示全部楼层 · 发表于 2016-12-30 03:16:55

卡巴
Trojan-Ransom.Win32.Zerber.awxr

[病毒样本] 【掛馬樣本】mang.exe VT(9/56)