主防测试2

，就一个.

这个样本之前发过的， 行为非常简单但是很暴力，曾经用win7实机双击，重启以后系统无法开机，开机过程中提示缺失文件，需要修复系统，只能一键还原或者PE重装，注意不建议实机测试，以免中招。

据我测试 卡巴斯基2018 SW不能防御，虽然双击文件监控会提示报非法软件（还需要手动勾选才行），但是还是被过。卡巴2019改进了默认开启检测非法软件，并且关闭文件监控双击一样报非法软件，但是文件是直接自动被清理了，不会出现2018版本需要手动删除样本，出现报非法软件但是样本又可以运行的情况。

趋势科技主防可以在病毒弹出几个窗口以后结束进程并且删除样本

G Data 主防也可以拦截

火绒   360国际版（会提示你阻止，但是还是结束不了样本运行，点击阻止所有，样本还是会继续删除系统文件） 金山毒霸 双击均被过

其余的刚刚测试了迈克菲 也可以



Real Protect-LS!属于迈克菲本地主防的报法 双击样本弹出一个窗口就被删除了

威胁
执行的操作        清理
威胁类别        检测到恶意软件
威胁事件 ID        35107
威胁已被处理        是
威胁名称        Real Protect-LS!2c071d7622d4
威胁严重性        严重
威胁时间戳        2018年6月10日 下午8:32
威胁类型        特洛伊木马程序

源
源访问时间        2018年6月10日 下午7:24
源创建时间        2018年4月12日 上午7:34
源文件大小        3933184
源主机名        DESKTOP-G697795
源修改时间        2018年4月12日 上午7:34
源进程名称        C:\WINDOWS\EXPLORER.EXE
源用户名        DESKTOP-G697795\ZT

目标
目标哈希        2c071d7622d484e7e7bbd7499f27144b
目标主机名        DESKTOP-G697795
目标名        删除文件弹窗病毒.EXE
目标路径        D:\360极速浏览器下载\删除文件弹窗病毒



剩下的欢迎各位测试主防 我来统计下 我很感兴趣除了HIPS还有那些只能主防可以拦截  成功拦截的都会置顶



密码123

a445441

微点拦截

pal家族

这个，，，我这里没删除系统程序，删除的是d盘和f盘，可能是没轮到c盘。。。而你程序的名字是删除系统程序。。。实际上是情况整个磁盘，很快的删光光
另外楼主发这样的样本最好先把具体行为说一下，要不然有些人可能会遭殃。。

说明：
虚拟机为win10 1709，样本未能成功删除系统程序（访问被拒绝），但explorer.exe被结束，大量cmd进程跑满了CPU。
手动重启，系统正常启动，未发现明显系统文件损失。
按pal大佬的测试，其它盘符也可能受影响，但我的虚拟机只有C盘，故不清楚BDF是否能拦截对其它盘文件的删除



BDF:

ELOHIM

解压后 SCEP 提示：Trojan:Win32/Fuery.B!cl
无虚拟机，不测试双击了。

aboringman

pal家族 发表于 2018-6-10 21:39
这个，，，我这里没删除系统程序，删除的是d盘和f盘，可能是没轮到c盘。。。而你程序的名字是删除系统程序 ...

这种东西真的不知道该怎么分类，它不能归到恶意程序中，因为任何人都可以做出群删批处理，无论是恶意或是非恶意。

这种东西要让智能主防来挡，我觉得只是凶多吉少而已。

www-tekeze

这里又有一个，还是那句话，偶就喜欢暴力的，希望能穿透影子吧。。

www-tekeze

www-tekeze 发表于 2018-6-10 22:41
这里又有一个，还是那句话，偶就喜欢暴力的，希望能穿透影子吧。。

火绒扫描miss，双击后有N多个cmd窗口，主防无法拦截。。
最终CPU不堪重负，失去响应死机，强行重启后完全恢复，想穿影子还是不可能啊。。

www-tekeze

aboringman 发表于 2018-6-10 22:36
这种东西真的不知道该怎么分类，它不能归到恶意程序中，因为任何人都可以做出群删批处理，无论是恶意或是 ...

赞成，过于简单的动作，也要求仅凭主防就拦截，没庞大信誉库支持的话，比如断网等情况下，那不知会产生多少误杀误判，所以楼主用这种样本来测主防，我觉得不合适。

ericdj

a445441 发表于 2018-6-10 21:13
微点拦截

微点的主防可以拦截？