样本集奉上_13

显示全部楼层 · 发表于 2018-7-6 23:43:56

pal家族发表于 2018-7-6 23:38
金山和腾讯应该都是本地几乎没有特征库的，我记得腾讯有大概不到5MB吧，还是很传统的那种，记得还被拔过 ...

库太大反倒是个问题，说明本地模型提炼做得很差，甚至根本不提炼（就一个hash库）。趋势从以前测试来看，其他家的检出它基本是照单全收，当然是收hash……可能只有个别流行家族针对性处理了。

测老毒很能说明问题，BD老毒基本都入库了，改md5不会过（检出名也能说明问题），有一些产品lz这种比较老的包改了还能大面积过就有点让人担心了，特别是后续没有防御部署的话

显示全部楼层 · 发表于 2018-7-6 23:49:34

B100D1E55 发表于 2018-7-6 23:43
库太大反倒是个问题，说明本地模型提炼做得很差，甚至根本不提炼（就一个hash库）。趋势从以前测试来看， ...

趋势，最近也开始宣传ML了。。。。
再给它半年时间的。
曾经铁壳的库也这么大，后来搞得静态扫描引擎，库在150MB以内了。

毒霸腾讯嘛，有心无力吧。基本只能靠云拉黑，基于云的一点单步hips了。。无法奢望改变了。
360的本地+云，全面的ML，再配合疯狂加白，倒成了国内最优选择了。

显示全部楼层 · 发表于 2018-7-6 23:59:07

B100D1E55 发表于 2018-7-6 23:36
真没注意你当时问的问题，倒不是我不想解答。

至于改MD5的报毒变多一般是表层引擎针对怪奇pe结构做了 ...

收到，感谢解答！

显示全部楼层 · 发表于 2018-7-7 00:06:46

B100D1E55 发表于 2018-7-6 23:43
库太大反倒是个问题，说明本地模型提炼做得很差，甚至根本不提炼（就一个hash库）。趋势从以前测试来看， ...

有一些产品lz这种比较老的包改了还能大面积过就有点让人担心了，特别是后续没有防御部署的话

改MD5象安天、瑞星这种降得一塌糊涂的，用着还真不放心！如果所有杀软都这样，那病毒作者可就省心了。。

显示全部楼层 · 发表于 2018-7-7 00:27:18

pal家族发表于 2018-7-6 23:49
趋势，最近也开始宣传ML了。。。。
再给它半年时间的。
曾经铁壳的库也这么大，后来搞得静态扫描引擎， ...

嗯我个人觉得360算是国产各方面平衡做得最好的一个

显示全部楼层 · 发表于 2018-7-7 05:36:56

本帖最后由 Jirehlov1234 于 2018-7-7 05:49 编辑

pal家族发表于 2018-7-6 23:06
对了，你是认真的，真的想了解为什么会有三个改了md5不能检测吗？

我可以简单的告诉你下，

谢谢，了解了。

显示全部楼层 · 发表于 2018-7-7 09:22:15

panda killx29 48%

扫描,正在扫描：C:\Users\llanoMe\Desktop\VirusSamples_13,2018/7/7 9:11,已启动
检测到木马 Trj/Autorun.KPJ,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (36).vir,2018/7/7 9:11,已删除
检测到潜在的不需要程序 PUP/Multitoolbar,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (1).vir,2018/7/7 9:11,已抑制
检测到木马 Trj/Genetic.gen,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (10).vir,2018/7/7 9:11,已删除
检测到木马 Trj/CI.A,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (12).vir,2018/7/7 9:11,已删除
检测到木马 Trj/GdSda.A,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (13).vir,2018/7/7 9:11,已删除
检测到木马未知名称,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (14).vir,2018/7/7 9:12,已删除
检测到潜在的不需要程序 PUP/Wajam,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (15).vir,2018/7/7 9:12,已抑制
检测到木马 Trj/GdSda.A,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (16).vir,2018/7/7 9:12,已删除
检测到潜在的不需要程序 PUP/InstallCore,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (2).vir,2018/7/7 9:12,已抑制
检测到木马 Trj/CI.A,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (20).vir,2018/7/7 9:12,已删除
检测到木马 Trj/Genetic.gen,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (22).vir,2018/7/7 9:12,已删除
检测到木马 Trj/CI.A,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (23).vir,2018/7/7 9:12,已删除
检测到木马 Trj/Genetic.gen,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (24).vir,2018/7/7 9:12,已删除
检测到潜在的不需要程序 PUP/Multitoolbar,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (28).vir,2018/7/7 9:12,已抑制
检测到木马 Trj/CI.A,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (30).vir,2018/7/7 9:12,已删除
检测到木马 Trj/Genetic.gen,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (31).vir,2018/7/7 9:12,已删除
检测到木马 Trj/GdSda.A,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (33).vir,2018/7/7 9:12,已删除
检测到木马 Trj/CI.A,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (35).vir,2018/7/7 9:13,已删除
检测到木马 Trj/Genetic.gen,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (38).vir,2018/7/7 9:13,已删除
检测到木马 Trj/GdSda.A,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (40).vir,2018/7/7 9:13,已删除
检测到潜在的不需要程序 PUP/DownloadAssistant,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (42).vir,2018/7/7 9:13,已抑制
检测到木马 Trj/GdSda.A,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (44).vir,2018/7/7 9:13,已删除
检测到木马 Trj/GdSda.A,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (46).vir,2018/7/7 9:13,已删除
检测到木马 Trj/GdSda.A,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (47).vir,2018/7/7 9:13,已删除
检测到木马 Trj/GdSda.A,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (48).vir,2018/7/7 9:13,已删除
检测到木马 Trj/GdSda.A,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (49).vir,2018/7/7 9:13,已删除
检测到木马 Trj/RnkBend.A,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (7).vir,2018/7/7 9:13,已删除
检测到木马 Trj/CI.A,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (8).vir,2018/7/7 9:13,已删除
检测到木马 Trj/GdSda.A,位置：C:\Users\llanoMe\Desktop\VirusSamples_13\Samp (9).vir,2018/7/7 9:14,已删除

复制代码

修改MD5 killx20 40%

显示全部楼层 · 发表于 2018-7-7 17:37:09

学习了，非常好

显示全部楼层 · 发表于 2018-7-7 18:16:38

191196846 发表于 2018-7-6 16:43
ESET

40/50

回滚病毒库后依旧威猛
EES5.0，回滚至17662（20180704）病毒库，kill42；改MD5版本kill36

病毒库: 17662 (20180704)
快速响应模块: 12426 (20180704)
更新模块: 1069 (20161122)
病毒和间谍软件扫描程序模块: 1539.1 (20180529)
高级启发式扫描模块: 1188 (20180422)
压缩文件支持模块: 1275 (20180605)
清除器模块: 1159 (20180612)
反隐藏支持模块: 1137 (20180530)
防火墙模块: 1374.1 (20180410)
反垃圾邮件模块: 1029 (20141103)
ESET SysInspector 模块: 1273 (20180523)
自我保护模块: 1018 (20100812)
文件系统实时防护模块: 1014 (20160223)
翻译支持模块: 1678 (20180410)
HIPS 支持模块: 1322 (20180613)
Internet 防护模块: 1331.1 (20180517)
Web 内容过滤器模块: 1051 (20160412)
高级反垃圾邮件模块: 7589 (20180704)
数据库模块: 1098 (20180530)
Rootkit 删除和清除模块: 1019 (20170825)
加密协议支持模块: 1027 (20180404)

复制代码

正在扫描日志
病毒库版本: 17662 (20180704)
日期: 2018-7-7 时间: 18:12:16
已扫描的磁盘、文件夹和文件: D:\VirusSamples_13
D:\VirusSamples_13\Samp (1).vir - Win32/Adware.Qjwmonkey.H 应用程序的变种
D:\VirusSamples_13\Samp (10).vir - Win32/Adware.Coupons.AA 应用程序的变种
D:\VirusSamples_13\Samp (11).vir > UPX - Linux/Mirai.BD 特洛伊木马的变种
D:\VirusSamples_13\Samp (12).vir - Generik.LMWYVAQ 特洛伊木马的变种
D:\VirusSamples_13\Samp (13).vir - MSIL/LockScreen.WH 特洛伊木马的变种
D:\VirusSamples_13\Samp (14).vir - Generik.CNUVECQ 特洛伊木马的变种
D:\VirusSamples_13\Samp (15).vir - Win32/Adware.Zdengo.ANG 应用程序
D:\VirusSamples_13\Samp (16).vir - MSIL/Kryptik.NYP 特洛伊木马的变种
D:\VirusSamples_13\Samp (18).vir > ZIP > word/_rels/document.xml.rels - DOC/TrojanDownloader.Agent.JW 特洛伊木马
D:\VirusSamples_13\Samp (18).vir > ZIP > - 压缩文件已损坏
D:\VirusSamples_13\Samp (19).vir - Generik.JWCVMPO 特洛伊木马的变种
D:\VirusSamples_13\Samp (2).vir - Win32/InstallCore.Gen.A 潜在的不受欢迎应用程序
D:\VirusSamples_13\Samp (20).vir > NSIS > Script.nsi - Win32/Adware.Dotdo.AB 应用程序
D:\VirusSamples_13\Samp (21).vir - DOC/Agent.BL 特洛伊木马
D:\VirusSamples_13\Samp (22).vir - Win32/Kryptik.GHQT 特洛伊木马的变种
D:\VirusSamples_13\Samp (24).vir - Win32/Adware.Coupons.AA 应用程序的变种
D:\VirusSamples_13\Samp (25).vir > UPX v13_m8 - Win32/Filecoder.Ishtar.R 特洛伊木马
D:\VirusSamples_13\Samp (25).vir > AUTOIT - 正常
D:\VirusSamples_13\Samp (26).vir > INNO > script_decompiled.pas - Win32/Adware.RK.AW 应用程序
D:\VirusSamples_13\Samp (26).vir > INNO - Win32/BundleLoader.G 潜在的不受欢迎应用程序的变种
D:\VirusSamples_13\Samp (27).vir - Win32/Injector.DWPW 特洛伊木马
D:\VirusSamples_13\Samp (28).vir > INNO > {tmp}\Fusion.dll - Win32/FusionCore.I 潜在的不受欢迎应用程序的变种
D:\VirusSamples_13\Samp (28).vir > INNO - Win32/FusionCore.I 潜在的不受欢迎应用程序的变种
D:\VirusSamples_13\Samp (30).vir - Win32/DownWare.AY 潜在的不受欢迎应用程序的变种
D:\VirusSamples_13\Samp (31).vir - Win32/Adware.Coupons.AA 应用程序的变种
D:\VirusSamples_13\Samp (33).vir - Win32/NukeSped.CE 特洛伊木马的变种
D:\VirusSamples_13\Samp (34).vir - Win32/Auslogics.C 潜在的不受欢迎应用程序的变种
D:\VirusSamples_13\Samp (36).vir - Win32/HoudRat.E 特洛伊木马
D:\VirusSamples_13\Samp (38).vir - Win32/Kryptik.GGSC 特洛伊木马的变种
D:\VirusSamples_13\Samp (39).vir - MSIL/HackTool.BruteForce.HB 特洛伊木马的变种
D:\VirusSamples_13\Samp (4).vir - Generik.GBOVAGD 特洛伊木马的变种
D:\VirusSamples_13\Samp (40).vir - Win32/Adware.ConnectUpdate.A 应用程序的变种
D:\VirusSamples_13\Samp (41).vir - MSIL/Spy.Keylogger.DF 特洛伊木马的变种
D:\VirusSamples_13\Samp (42).vir - Win32/InstallCore.Gen.A 潜在的不受欢迎应用程序
D:\VirusSamples_13\Samp (44).vir - Win32/Spy.KeyLogger.QFB 特洛伊木马的变种
D:\VirusSamples_13\Samp (45).vir - JS/Vjworm.S 蠕虫
D:\VirusSamples_13\Samp (46).vir - MSIL/Bladabindi.AN 特洛伊木马的变种
D:\VirusSamples_13\Samp (47).vir - Win32/DealPly.SG 潜在的不受欢迎应用程序的变种
D:\VirusSamples_13\Samp (48).vir - MSIL/HackTool.BruteForce.HG 特洛伊木马的变种
D:\VirusSamples_13\Samp (49).vir - Generik.BANGUQJ 特洛伊木马的变种
D:\VirusSamples_13\Samp (5).vir - JS/TrojanDownloader.Nemucod.EAO 特洛伊木马
D:\VirusSamples_13\Samp (50).vir > PY2EXE - 压缩文件已损坏－文件无法解压。
D:\VirusSamples_13\Samp (6).vir - HTML/TrojanDownloader.Agent.NFH 特洛伊木马
D:\VirusSamples_13\Samp (8).vir - Win64/Adware.RunBooster.E 应用程序的变种
D:\VirusSamples_13\Samp (9).vir - Win32/Spy.KeyLogger.QAR 特洛伊木马的变种
已扫描的对象数: 115
发现的威胁数: 42
已清除对象数: 0
完成时间: 18:12:49 总扫描时间: 33 秒 (00:00:33)

复制代码

正在扫描日志
病毒库版本: 17662 (20180704)
日期: 2018-7-7 时间: 18:12:44
已扫描的磁盘、文件夹和文件: D:\VirusSamples_M_13
D:\VirusSamples_M_13\Samp-M_(1).vir - Win32/Adware.Qjwmonkey.H 应用程序的变种
D:\VirusSamples_M_13\Samp-M_(10).vir - Win32/Adware.Coupons.AA 应用程序的变种
D:\VirusSamples_M_13\Samp-M_(11).vir > UPX - Linux/Mirai.BD 特洛伊木马的变种
D:\VirusSamples_M_13\Samp-M_(13).vir - MSIL/LockScreen.WH 特洛伊木马的变种
D:\VirusSamples_M_13\Samp-M_(15).vir - Win32/Adware.Zdengo.ANG 应用程序
D:\VirusSamples_M_13\Samp-M_(16).vir - MSIL/Kryptik.NYP 特洛伊木马的变种
D:\VirusSamples_M_13\Samp-M_(18).vir > ZIP > word/_rels/document.xml.rels - DOC/TrojanDownloader.Agent.JW 特洛伊木马
D:\VirusSamples_M_13\Samp-M_(18).vir > ZIP > - 压缩文件已损坏
D:\VirusSamples_M_13\Samp-M_(2).vir - Win32/InstallCore.Gen.A 潜在的不受欢迎应用程序
D:\VirusSamples_M_13\Samp-M_(20).vir > NSIS > Script.nsi - Win32/Adware.Dotdo.AB 应用程序
D:\VirusSamples_M_13\Samp-M_(22).vir - Win32/Kryptik.GHQT 特洛伊木马的变种
D:\VirusSamples_M_13\Samp-M_(24).vir - Win32/Adware.Coupons.AA 应用程序的变种
D:\VirusSamples_M_13\Samp-M_(25).vir > UPX v13_m8 - Win32/Filecoder.Ishtar.R 特洛伊木马
D:\VirusSamples_M_13\Samp-M_(25).vir > AUTOIT - 正常
D:\VirusSamples_M_13\Samp-M_(26).vir > INNO > script_decompiled.pas - Win32/Adware.RK.AW 应用程序
D:\VirusSamples_M_13\Samp-M_(26).vir > INNO - Win32/BundleLoader.G 潜在的不受欢迎应用程序的变种
D:\VirusSamples_M_13\Samp-M_(27).vir - Win32/Injector.DWPW 特洛伊木马
D:\VirusSamples_M_13\Samp-M_(28).vir > INNO > {tmp}\Fusion.dll - Win32/FusionCore.I 潜在的不受欢迎应用程序的变种
D:\VirusSamples_M_13\Samp-M_(28).vir > INNO - Win32/FusionCore.I 潜在的不受欢迎应用程序的变种
D:\VirusSamples_M_13\Samp-M_(30).vir - Win32/DownWare.AY 潜在的不受欢迎应用程序的变种
D:\VirusSamples_M_13\Samp-M_(31).vir - Win32/Adware.Coupons.AA 应用程序的变种
D:\VirusSamples_M_13\Samp-M_(33).vir - Win32/NukeSped.CE 特洛伊木马的变种
D:\VirusSamples_M_13\Samp-M_(34).vir - Win32/Auslogics.C 潜在的不受欢迎应用程序的变种
D:\VirusSamples_M_13\Samp-M_(36).vir - Win32/HoudRat.E 特洛伊木马
D:\VirusSamples_M_13\Samp-M_(38).vir - Win32/Kryptik.GGSC 特洛伊木马的变种
D:\VirusSamples_M_13\Samp-M_(39).vir - MSIL/HackTool.BruteForce.HB 特洛伊木马的变种
D:\VirusSamples_M_13\Samp-M_(40).vir - Win32/Adware.ConnectUpdate.A 应用程序的变种
D:\VirusSamples_M_13\Samp-M_(41).vir - MSIL/Spy.Keylogger.DF 特洛伊木马的变种
D:\VirusSamples_M_13\Samp-M_(42).vir - Win32/InstallCore.Gen.A 潜在的不受欢迎应用程序
D:\VirusSamples_M_13\Samp-M_(44).vir - Win32/Spy.KeyLogger.QFB 特洛伊木马的变种
D:\VirusSamples_M_13\Samp-M_(45).vir - JS/Vjworm.S 蠕虫
D:\VirusSamples_M_13\Samp-M_(46).vir - MSIL/Bladabindi.AN 特洛伊木马的变种
D:\VirusSamples_M_13\Samp-M_(47).vir - Win32/DealPly.SG 潜在的不受欢迎应用程序的变种
D:\VirusSamples_M_13\Samp-M_(48).vir - MSIL/HackTool.BruteForce.HG 特洛伊木马的变种
D:\VirusSamples_M_13\Samp-M_(5).vir - JS/TrojanDownloader.Nemucod.EAO 特洛伊木马
D:\VirusSamples_M_13\Samp-M_(50).vir > PY2EXE - 压缩文件已损坏－文件无法解压。
D:\VirusSamples_M_13\Samp-M_(6).vir - HTML/TrojanDownloader.Agent.NFH 特洛伊木马
D:\VirusSamples_M_13\Samp-M_(8).vir - Win64/Adware.RunBooster.E 应用程序的变种
D:\VirusSamples_M_13\Samp-M_(9).vir - Win32/Spy.KeyLogger.QAR 特洛伊木马的变种
已扫描的对象数: 115
发现的威胁数: 36
已清除对象数: 0
完成时间: 18:13:13 总扫描时间: 29 秒 (00:00:29)

复制代码

显示全部楼层 · 发表于 2018-7-7 21:54:36

PanzerVIIIMaus 发表于 2018-7-7 18:16
回滚病毒库后依旧威猛
EES5.0，回滚至17662（20180704）病毒库，kill42；改MD5版本kill36

改MD5后少了6个，85.7%，应该算正常吧。。。老样本比较多，回到7.4影响不大。

[病毒样本] 样本集奉上_13

本帖子中包含更多资源