一个行为多多的小样本

驭龙

很久没有发样本了，今天用WDATP深度分析功能分析了一个样本，这个样本现在只是被几家拉黑，看上去很好玩。
样本没有加密：

VT结果：
https://www.virustotal.com/en/file/6a3b97954aba30e32c60e7a579b680b2c5804e8c49a4993a8cd001bf1693710d/analysis/1490936683/

AegisLab	Ml.Attribute.Gen!c	20170330
Baidu	Win32.Trojan.WisdomEyes.16070401.9500.9999	20170330
CrowdStrike Falcon (ML)	malicious_confidence_100% (W)	20170130
Endgame	malicious (high confidence) pe1	20170330
Invincea	ransom.win32.tescrypt.t	20170203
Kaspersky	UDS:DangerousObject.Multi.Generic	20170330
Malwarebytes	Trojan.Dridex	20170330
McAfee	Trojan-Dridex!EFB201AC7BEF	20170330
McAfee-GW-Edition	BehavesLike.Win32.ZeroAccess.cc	20170331
Palo Alto Networks (Known Signatures)	generic.ml	20170331
Rising	Malware.Heuristic!ET#82% (cloud:fXNhlFRTmiM)	20170330
Symantec	Trojan.Gen.8!cloud	20170330
Webroot	Malicious	20170331
ZoneAlarm by Check Point	UDS:DangerousObject.Multi.Generic	20170331

下面的截图是WDATP深度分析的部分报告，由于内容太多，所以我只是截图一小部分，大家看看就好。






这家伙为什么会检测TrendMicro的注册值？就是反TrendMicro一家？还是什么情况？

dongwenqi

卡巴云拉黑

Eset小粉絲

夜微凉

pal家族

有一定历史的家族了
Backdoor.Win32.Dridex.ek

驭龙

pal家族 发表于 2017-3-31 13:41
有一定历史的家族了
Backdoor.Win32.Dridex.ek

你不觉得McAfee GW的报法很好玩么？

看WDATP深度分析的报告，这小东西会生成18个文件，无数的注册值，而且还会注入Svchost中，行为很多

pal家族

驭龙 发表于 2017-3-31 13:46
你不觉得McAfee GW的报法很好玩么？

看WDATP深度分析的报告，这小东西会生成18个文件，无数的注册值， ...

GW很多时候立奇功呢。。。。
只是不能理解个人版产品去掉读写时扫描只能执行扫描是为什么。。。
大家都搞云，趋势检测率都比迈克菲高。。。。。。。

心醉咖啡

火绒扫描miss

驭龙

pal家族 发表于 2017-3-31 13:50
GW很多时候立奇功呢。。。。
只是不能理解个人版产品去掉读写时扫描只能执行扫描是为什么。。。
大家都 ...

GW就是个奇葩，高高在上的查杀和无以伦比的误报。
但McAfee个人版真的是个更大的奇葩，居然放弃了读写扫描的监控，说是为了性能，可我不觉得McAfee比别的流畅。

说实话如果WDATP的识别可疑文件的能力改为查杀，那绝对是没几个能比得过的，只不过Microsoft不那么玩，只是让WDATP的管理员来人工识别与封杀可疑文件

轩夏