火绒小测试之缉毒卫队测试包0120

显示全部楼层 · 发表于 2017-1-21 09:19:54

本帖最后由 skycai 于 2017-1-21 09:23 编辑

今天周末，刚好早上有空。就用缉毒卫队测试包0120在虚拟机里测试火绒的表现。

虚拟机的环境是win7的32位，可能有部分组件不全，也不保证样本都走的起来。

首先看看扫描结果，只检测出来两个。01和05

按照提示把这两个样本删除后，再把剩余8个样本的扩展名修正。来看看主动防御的表现吧。

在exe文档中，07 09运行无反应，06双击后显示无法运行，02和10主防拦截。04运行后衍生物报毒，但是原始文件没有删除，并且有写入启动项，启动项目运行后是否有其他动作未测试，算拦截一半。

10拦截：
02拦截：
04衍生物报毒：
04生成物：
06显示无法运行：

两个js脚本，在命令行模式下用wscript调用，08被拦截，03运行了一段时间系统无异常，重启无提示。

好，总结一下：
1、样本总数10
2、查杀样本2
3、防御样本3.5
4、无反应样本4

显示全部楼层 · 发表于 2017-1-21 09:24:11

支持测试！

显示全部楼层 · 发表于 2017-1-21 09:25:19

可以的，样本贴下吧
希望能有个对比数字测试

显示全部楼层 · 发表于 2017-1-21 09:26:03

飞翔病毒发表于 2017-1-21 09:25
可以的，样本贴下吧
希望能有个对比数字测试

样本就是样本区的缉毒卫队测试包，直接下就可以。

显示全部楼层 · 发表于 2017-1-21 11:14:04

测试结果和我这里基本一致，就是06是始终无法运行的。。
03是下载者js，可以运行，不过没有下载成文件，但是在火绒的系统上没有运行
09也是可以运行的，是勒索病毒，这个过掉火绒（用XP测试可以看到样本行为）
07也可以运行，也是下载了个衍生物没有明显行为
04虽然写入启动项不过对于火绒防护不会太影响（火绒的防御是开机即时起作用，不会像360那样开机后2分钟后才起作用）

显示全部楼层 · 发表于 2017-1-21 11:49:40

本帖最后由 skycai 于 2017-1-21 11:51 编辑

vm001 发表于 2017-1-21 11:14
测试结果和我这里基本一致，就是06是始终无法运行的。。
03是下载者js，可以运行，不过没有下载成文件，但 ...

比较懒。没有看动作。
另外，从这批样本触发的都是“多步防御“，所以弹泡都是恶意行为拦截，并且命中病毒类型，而不是hips的关键点拦截功能。

显示全部楼层 · 发表于 2017-1-21 16:07:01

6号样本是我昨天从payload下载的，当时只看了行为，没有在下载后重新自己跑一次
估计是解压的时候出错了
十分抱歉
下次会尽量自己重新跑一遍

[分享] 火绒小测试之缉毒卫队测试包0120

本帖子中包含更多资源

评分