样本集奉上_19

显示全部楼层 · 发表于 2018-7-12 18:43:56

BeatTrojan 发表于 2018-7-12 18:03
您好，无文件一般有这六种方式:

1. Classic memory injection 常规注入(CreateRemoteThread, OpenProc ...

8楼官人说了，脚本类往往只用在攻击的开始 (Downloader)，后续是下载正常软件还是恶意软件，静态扫描无法识别，所以是种“无文件”的攻击方式，感谢官人介绍了无文件的六种方式，虽然只看懂了一点点，还是长见识了。。

显示全部楼层 · 发表于 2018-7-12 18:50:30

BeatTrojan 发表于 2018-7-12 18:03
您好，无文件一般有这六种方式:

1. Classic memory injection 常规注入(CreateRemoteThread, OpenProc ...

还是希望官人们能完善产品吧，做到事前拦截是最好的，因为如果下载了加驱类恶意文件，而这个文件又没有被入库，那进入内核就难办了，即使智量升级后已能识别，估计也只能努力弹窗，却没能力去清除了。。

显示全部楼层 · 发表于 2018-7-12 19:30:29

360解压报99个全报（virus.vbs.crypt.c），剩余样本的后缀名改成vbs之后，被360清空，一个不剩。当然报读名也是花式的。

显示全部楼层 · 发表于 2018-7-12 20:21:19

191196846 发表于 2018-7-12 18:38
你还没回答这个问题呢

您好，现在智量暂时未带驱动，主动防御是在ring3层做的

显示全部楼层 · 发表于 2018-7-12 20:23:16

www-tekeze 发表于 2018-7-12 18:50
还是希望官人们能完善产品吧，做到事前拦截是最好的，因为如果下载了加驱类恶意文件，而这个文件又没有被 ...

感谢支持，我们正在抓紧研发，脚本查杀功能不久就会面世。

显示全部楼层 · 发表于 2018-7-12 20:29:59

www-tekeze 发表于 2018-7-12 18:16
楼上卡巴不报的那4个，双击也被拦截了？

刚刚双击再测了一下13和44文件显示编译错误，还有我第一次是修改为js格式是报危险程序，这次是改成vbs格式报植入型木马。。

显示全部楼层 · 发表于 2018-7-12 20:32:05

BeatTrojan 发表于 2018-7-12 20:21
您好，现在智量暂时未带驱动，主动防御是在ring3层做的

感谢解答……

有计划做驱动吗？

==================
主动防御定义

请问是多步还是单步的？本地还是云结合？

显示全部楼层 · 发表于 2018-7-12 20:34:33

小akill 156

显示全部楼层 · 发表于 2018-7-12 20:37:38

本帖最后由 renyifei 于 2018-7-12 20:43 编辑

ESET56/160日志
正在扫描日志
检测引擎的版本: 17703 (20180712)
日期: 2018-7-12-周四  时间: 20:35:01
已扫描的磁盘、文件夹和文件: D:\病毒样本\
D:\病毒样本\Samp_VBS (1).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (10).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (11).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (13).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (14).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (15).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (16).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (17).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (18).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (19).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (2).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (20).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (21).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (23).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (24).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (25).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (26).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (27).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (28).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (29).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (3).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (30).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (31).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (32).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (33).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (34).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (35).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (36).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (37).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (38).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (39).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (4).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (40).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (41).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (42).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (43).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (45).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (47).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (48).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (49).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (5).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (50).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (51).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (52).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (53).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (54).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (55).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (56).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (57).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (58).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (59).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (6).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (60).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (7).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (8).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\Samp_VBS (9).vir - VBS/TrojanDownloader.Agent.PPT 特洛伊木马 - 通过删除清除 [1]
已扫描的对象数: 160
发现的威胁数: 56
已清除对象数: 56
完成时间: 20:36:23  总扫描时间: 82 秒 (00:01:22)

备注:
[1] 由于对象中仅包含病毒主体，因此已被删除。@驭龙  @B100D1E55  ESET今天是怎么了，差这麽多
按道理这种报毒名都一样的变种ESET应该是可以的，但是远远低于其他杀软
不知道说的对不对

显示全部楼层 · 发表于 2018-7-12 20:53:47

191196846 发表于 2018-7-12 20:32
感谢解答……

有计划做驱动吗？

您好，没有计划做驱动，单步，本地.

[病毒样本] 样本集奉上_19