Samples

温馨小屋

0809-1：0.bin HEUR:Trojan.Win32.Generic
0809-0：1.bin HEUR:Backdoor.Win32.Generic
0.bin 运行后杀衍生物VHO:Trojan-Banker.Win32.Banbra.wkqb

WhiteCruel

B100D1E55 发表于 2018-8-10 09:42
偶尔分享一下国产特色，虽然这些样本也不是很有意思但是能说明一些问题

我发现在样本区ESET很少报国产自制的病毒，其中见得比较多的报法是易语言和VM壳

特别是一些恶搞类和调用命令行搞破坏的，基本上双击一次虚拟机就崩一次

Agu

Malwarebytes - 1X


360國際版(無Avira/BD) - 1X，剩餘2個提示上傳

1. C:\Users\PC\Downloads\0809-0\1.bin        Win32/Trojan.Downloader.341        Not resolved

复制代码

7分鐘後360分析為Low Risk：

已入庫再1X：

1. C:\Users\PC\Downloads\0809-0\0.bin        Win32/Trojan.97a        Resolved

复制代码

Zemana - 2X

B100D1E55

WhiteCruel 发表于 2018-8-10 12:28
我发现在样本区ESET很少报国产自制的病毒，其中见得比较多的报法是易语言和VM壳

特别是一些恶搞 ...

其实有不少dtd能检测为恶意，最少最少也是可疑，说明云端至少有一个引擎能检出。但是文件没被收录到云里，说明ESET国区捕获样本的速度和广度还需进步（某种程度来说这和ESET在国内装机率挂钩）

刚才又找了5个左右都是火绒能扫出来ESET没检测出来的，等找到网盘再传上来。感觉国内的话现阶段拿火绒做辅杀说不定还挺管用……至于那种搞破坏的、bat流、恶作剧系列不杀也在意料之内，这种很多属于行为比较泛不靠人工分析拿不准的程序，主防能不入库就杀的往往伴随潜在高误报率。

www-tekeze

曾在黑非洲呆过6年半，但偶永远是个Chinese。。。
立足于本土更具备实用性，毕竟天朝有大qiang。。。支持B大发样本帖。。

B100D1E55

www-tekeze 发表于 2018-8-10 12:51
曾在黑非洲呆过6年半，但偶永远是个Chinese。。。
立足于本土更具备实用性，毕竟天朝有大qiang。。。支持B ...

刚才看了一圈发现火绒对国内黑产的检测率的确会好看不少。且不说qiang的问题，如果用户因为语言背景大多只访问中文网站的话毒区有一些毒的确是少有可能遇到。

其实杀毒检测率地域性差异肯定会有，360对于海外的phishing/fake alert之类的基本是视而不见，而ESET对于国产钓鱼、某些类别的新毒也基本是miss/PUA无脑拉黑。当然这不代表就不需要入库了，毕竟一些毒变得不流行往往是因为大家能杀，和自己能不能杀没啥关系，但用户往往只用一家产品，所以该入库拉黑的还是要做。特别是市占率高起来之后麻烦的情况会更多……

www-tekeze

B100D1E55 发表于 2018-8-10 12:58
刚才看了一圈发现火绒对国内黑产的检测率的确会好看不少。且不说qiang的问题，如果用户因为语言背景大多 ...

联想、绿盟、深信服、天融信都OEM了火绒引擎，这些家的企业终端用户加上火绒个人用户，七、八百万也许上千万？ 所以私以为火绒的终端威胁情报系统，就国区来说，其信息精准性很可能超过某些国外大牌杀软，毕竟那些的国区用户数在那摆着，国区的这个情报系统规模也在那摆着。。。

完全同意你说的：“当然这不代表就不需要入库了，毕竟一些毒变得不流行往往是因为大家能杀，和自己能不能杀没啥关系”。。。如果为了毒库、程序不臃肿，连拉黑都懒得做，真有问题发生时，那必然会有火绒用户去当先行的牺牲品，这可是对用户极不负责的。

WhiteCruel

B100D1E55 发表于 2018-8-10 12:50
其实有不少dtd能检测为恶意，最少最少也是可疑，说明云端至少有一个引擎能检出。但是文件没被收录到云里 ...

DTD检测率确实很不错，个人版扫描miss掉的基本上都被DTD检出了，这点从你最近一段时间扫描样本包的成绩可以得知。

以前用过一段时间BD，主防确实厉害，样本区很少碰到能过ATD的，不过在我的电脑上误报也确实很高。。。，有一次更新游戏，把我TX游戏的上千个文件全删了，十几个G啊，关机重启后还继续杀，拦都拦不住，有种电脑被BD强Jian的感觉
如果ESET对国内样本敏感一点就好了。

不过话说话来，ESET可以搭配火绒吗？不会冲突？以前用过一段时间的火绒，在我的笔记本上打开程序时比较卡磁盘。机械硬盘伤不起

B100D1E55

WhiteCruel 发表于 2018-8-11 01:31
DTD检测率确实很不错，个人版扫描miss掉的基本上都被DTD检出了，这点从你最近一段时间扫描样本包的成绩可 ...

从这段时间测试国内黑产情况来看，ESET云端检测率>>现阶段火绒检测率，有不少易语言程序就算关了易语言通杀也能明确鉴定出恶意而不是可疑，但是消费版本地引擎都没在第一时间检测到。火绒的本地引擎对于这类样本不少有检测（所以说两个搭配一下可能可以互补，当然我指的是拿火绒当绿色扫描器这种搭配）。我猜应该是这类程序广度低所以鉴定优先级不够/文件根本没有被云收录，很多黑产测试的时候ESET的云信誉都是“未知”说明云根本没收录……

www-tekeze

B100D1E55 发表于 2018-8-12 23:14
从这段时间测试国内黑产情况来看，ESET云端检测率>>现阶段火绒检测率，有不少易语言程序就算关了易语言通 ...

你看下刚才这个帖，火绒scan miss，但双击很快就报毒，另外，火绒的系统加固 (单步主防吧)、规则都是强大的武器，当扫描器真有点大材小用。。     https://bbs.kafan.cn/thread-2129808-2-1.html