#PACKAGE 0821

心痛的伤不起

费尔kill14  total 14/28

帝辛

dreams521 发表于 2018-8-21 19:18
卡巴19:20
Samples(17/28) 60.7%

卡巴不错啊。这个意思是。没有对电脑造成任何损坏。

dreams521

帝辛 发表于 2018-8-21 20:32
卡巴不错啊。这个意思是。没有对电脑造成任何损坏。

是啊,现在的病毒设计越来越商业化,感觉是要"洗白"的节奏

Jerry.Lin

帝辛 发表于 2018-8-21 20:32
卡巴不错啊。这个意思是。没有对电脑造成任何损坏。

现在怕的是 Data leak ，破坏型已经非常罕见了

pal家族

191196846 发表于 2018-8-21 20:39
现在怕的是 Data leak ，破坏型已经非常罕见了

话又说回来，你这个改过md5的也不是real world测试呀
轻吐槽，请轻喷

心痛的伤不起

火绒扫描加双击  断网，防护全开，扫描只杀了1个 病毒库21号的。前面杀4个的不知道是不是和联网有关

日志
【1】2018-08-21 20:43:58,系统防御,注册表保护,start.exe触犯注册表防护规则, 已阻止

操作者：C:\Users\555\AppData\Local\start.exe
命令行："C:\Users\555\AppData\Local\start.exe"
风险动作：修改启动项
目标注册表：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Application
操作类型：写入
数据内容：C:\Users\555\AppData\Local\start.exe -boot
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2018-08-21 20:43:16,系统防御,注册表保护,0821(20).exe触犯注册表防护规则, 已阻止

操作者：C:\Users\555\Desktop\PACKAGE 0821\0821(20).exe
命令行："C:\Users\555\Desktop\PACKAGE 0821\0821(20).exe"
风险动作：修改启动项
目标注册表：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Nextel Communications Inc
操作类型：写入
数据内容：C:\Users\555\AppData\Roaming\Nextel Communications Inc\Nextel Communications Inc.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2018-08-21 20:42:50,系统防御,注册表保护,svhost.exe触犯注册表防护规则, 已阻止

操作者：C:\Users\555\AppData\Local\Temp\svhost.exe
命令行："C:\Users\555\AppData\Local\Temp\svhost.exe"
风险动作：修改启动项
目标注册表：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\WPA Manager
操作类型：写入
数据内容：C:\Users\555\AppData\Roaming\AE26E99B-688B-40DF-B67A-E7E11CAE2119\WPA Manager\wpamgr.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2018-08-21 20:42:29,系统防御,注册表保护,reg.exe触犯注册表防护规则, 已阻止

操作者：C:\Windows\SysWOW64\reg.exe
命令行：reg  add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v Load /t REG_SZ /d "C:\Users\555\AppData\Local\Temp\FolderN\name.exe.lnk" /f
风险动作：修改WinNT Load/Run项
目标注册表：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
操作类型：写入
数据内容：C:\Users\555\AppData\Local\Temp\FolderN\name.exe.lnk
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2018-08-21 20:41:50,系统防御,注册表保护,0821(7).exe触犯注册表防护规则, 已阻止

操作者：C:\Users\555\Desktop\PACKAGE 0821\0821(7).exe
命令行："C:\Users\555\Desktop\PACKAGE 0821\0821(7).exe"
风险动作：修改启动项
目标注册表：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MyOtApp
操作类型：写入
数据内容：C:\Users\555\AppData\Roaming\MyOtApp\MyOtApp.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2018-08-21 20:41:45,系统防御,注册表保护,0821(17).exe触犯注册表防护规则, 已阻止

操作者：C:\Users\555\Desktop\PACKAGE 0821\0821(17).exe
命令行："C:\Users\555\Desktop\PACKAGE 0821\0821(17).exe"
风险动作：修改启动项
目标注册表：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\PlayerList
操作类型：写入
数据内容：C:\Users\555\AppData\Local\Multiple Player\Windows Media Player\msvcrt6.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2018-08-21 20:41:43,系统防御,文件保护,svchost.exe触犯文件防护规则, 已阻止

操作者：C:\Windows\system32\svchost.exe
命令行：C:\Windows\system32\svchost.exe -k netsvcs -p
风险动作：修改系统任务目录
目标文件：C:\Windows\System32\Tasks\egjbJb
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【8】2018-08-21 20:41:42,系统防御,文件保护,0821(12).exe触犯文件防护规则, 已阻止

操作者：C:\Users\555\Desktop\PACKAGE 0821\0821(12).exe
命令行："C:\Users\555\Desktop\PACKAGE 0821\0821(12).exe"
风险动作：修改启动目录
目标文件：C:\Users\555\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\egjbJb.url
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【9】2018-08-21 20:38:42,病毒防御,病毒查杀,自定义扫描，发现0个风险项目

病毒库：2018-08-21 17:12
开始时间：2018-08-21 20:38
总计用时：00:00:27
扫描对象：335个
扫描文件：27个
发现风险：0个
已处理风险：0个
发现系统修复项：0个
处理系统修复项：0个

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【10】2018-08-21 20:38:06,病毒防御,文件实时监控,发现病毒HVM:VirTool/Obfuscator.gen!A, 已清除

操作者：C:\Program Files (x86)\360\360zip\360zip.exe
病毒路径：C:\Users\555\Desktop\PACKAGE 0821\0821(14).exe
病毒名称：HVM:VirTool/Obfuscator.gen!A
病毒ID：B27D4294CDE6A1EC
用户操作：已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Jerry.Lin

pal家族 发表于 2018-8-21 20:45
话又说回来，你这个改过md5的也不是real world测试呀
轻吐槽，请轻喷

是，其实做这个测试是更想挖掘出安软对于未知威胁（这里可以通俗的理解为过扫描）的防御情况

改个MD5主要是能筛掉一部分抄袭VT上结果的厂商，当然对于卡巴我也很无奈……


不过你也看到了其实PDM没这么脆，还是训练蛮好的模型，在高侦测率和低误报找到平衡，就是拦截点过于置后了点，导致数据泄露风险加大

www-tekeze

没人上智量？ 还没回家，先占楼吧。。

Jerry.Lin

pal家族 发表于 2018-8-21 20:45
话又说回来，你这个改过md5的也不是real world测试呀
轻吐槽，请轻喷

现在观察PDM:Trojan.Win32.Badur.a这个报法

发现还是有点意思的，这个大概就是云联动的效果

自己推测（猜测）下过程

一个用户双击了一个文件 -》触发PDM -》卡巴上传元数据到云端分析 -》另一个用户双击同样文件 -》云端上存在相同行为Pattern，符合-》PDM:Trojan.Win32.Badur.a -》过个5分钟，UDS拉黑


貌似是卡巴用来对付变种的手段，并且用来补云拉黑的短板，这个报法出现很多次了，绝大部分是在每次第二个卡巴用户双击时候出现，所以能大概推测出是这样运作的……

pal家族

191196846 发表于 2018-8-21 20:58
现在观察PDM:Trojan.Win32.Badur.a这个报法

发现还是有点意思的，这个大概就是云联动的效果

加油。我真的没时间泡论坛了。。。。
哭~~