#PACKAGE 0726

显示全部楼层 · 发表于 2018-7-27 10:41:17

本帖最后由 B100D1E55 于 2018-7-27 10:45 编辑

Karna 发表于 2018-7-27 03:46
最后那个我觉得可能测试机构可能都难以做到，就我测试的情况来看，我对于SW的反泄露能力是深表怀疑的，总 ...

权威测试机构可以大体上做到，比如AVC的真实世界防护就会评估动态防御哪些算成功哪些算不成功，企业测试更是要求没法全部回滚副作用的就算杀了也不算成功拦截（当然他们也有打马虎眼的可能性）

进了运行环节就不要太指望什么反泄露，而且一般能杀的都是动作大的，远控之类的就凶多吉少。这点要靠安全厂商云端的高级分析系统而不能指望客户端查杀，客户端顶多是当个牺牲肉鸡给云提供遥测信息

显示全部楼层 · 发表于 2018-7-27 10:42:02

540923555 发表于 2018-7-27 09:12
我刚测的WD 1804。。。怎么跟你差好多啊，才干掉10个。。。。。我是纯右键扫，没有监控，有好几个CL杀的 ...

奇了怪了。我当时就是vmware拖进去解压出来算剩下几个……这个很灵异了

显示全部楼层 · 发表于 2018-7-27 10:43:31

驭龙发表于 2018-7-27 10:41
我没有看，但微软已经云排除了，不入库，其实也是正常的，毕竟也不是真的威胁

其实算是威胁，全重命名后整个系统就不正常了，你可以运行看看。

不过ESET当时自动沙盒也判白哈哈，这种jokeware个例的确是比较棘手，自动系统对这种杀太狠基本会成为误报王

显示全部楼层 · 发表于 2018-7-27 10:46:26

B100D1E55 发表于 2018-7-27 10:43
其实算是威胁，全重命名后整个系统就不正常了，你可以运行看看。

不过ESET当时自动沙盒也判白哈哈，这 ...

所以等等看，看看微软入不入库吧，这东西真的有一点麻烦，恶作剧的程序都自动化入库，那误报就惨不忍睹了

显示全部楼层 · 发表于 2018-7-27 10:48:56

驭龙发表于 2018-7-27 10:46
所以等等看，看看微软入不入库吧，这东西真的有一点麻烦，恶作剧的程序都自动化入库，那误报就惨不忍睹了

入库自然是最好的，不入库也情有可原，这种就是个人玩玩的作品，没必要浪费大厂时间加定义污染样本池

我个人觉得这个只能靠人工拉黑，ESET入库肯定也是因为有热心的同学上报了

显示全部楼层 · 发表于 2018-7-27 10:50:26

B100D1E55 发表于 2018-7-27 10:48
入库自然是最好的，不入库也情有可原，这种就是个人玩玩的作品，没必要浪费大厂时间加定义污染样本池

...

是的，只是我奇怪30楼为什么只是杀那么一点呢？

显示全部楼层 · 发表于 2018-7-27 10:57:57

驭龙发表于 2018-7-27 10:50
是的，只是我奇怪30楼为什么只是杀那么一点呢？

不懂，我对WD的了解没有你深入，你要是也不知道我肯定也不大可能知道了

显示全部楼层 · 发表于 2018-7-27 11:02:19

B100D1E55 发表于 2018-7-27 10:57
不懂，我对WD的了解没有你深入，你要是也不知道我肯定也不大可能知道了

其实我也只是皮毛而已，毕竟不是开发人员，而且我还不会编程，所以我只是业余爱好者，哈哈

显示全部楼层 · 发表于 2018-7-27 11:26:28

桑德尔发表于 2018-7-27 09:16
报可疑的那个最好上报一下，杀得是壳，上报之后会进行归类入库

的确是个壳，我又扫了一下，改了
D:\病毒样本\0726(9).exe > UPX v12_m2 > BAT2EXE > Run.cmd - BAT/RenameFiles.H 特洛伊木马 - 通过删除清除 [1]

显示全部楼层 · 发表于 2018-7-27 11:28:53

renyifei 发表于 2018-7-27 11:26
的确是个壳，我又扫了一下，改了
D:\病毒样本\0726(9).exe > UPX v12_m2 > BAT2EXE > Run.cmd - BAT/Ren ...

我这边eset更新速度极慢，由于还怕更新版本升级出现问题，我采取了卸载重装的策略，结果重装的eset花了1小时才更新数M的病毒库，即使科学上网也没有起色，有没有什么比较好的方法？

[病毒样本] #PACKAGE 0726