很恐怖的感染型病毒！

兔子大大

www-tekeze 发表于 2018-11-16 16:20
当时试过画图、截图工具等十来个 (文件比较大，没有打包，剔除了)，都给出“不是有效的Win32程序”，无疑 ...

看来有些杀软没有隔离也不代表修复成功，跟隔离没有任何区别

www-tekeze

happycat 发表于 2018-11-16 16:17
那就是有些文件卡巴没修复成功，程序无法运行

火绒的修复能力不错，卡巴更强一点吧，但真要全部被感染，靠卡巴修复后就想免去重装系统，那也是不可能的！

兔子大大

www-tekeze 发表于 2018-11-16 16:25
火绒的修复能力不错，卡巴更强一点吧，但真要全部被感染，靠卡巴修复后就想免去重装系统，那也是不可能的 ...

国内的修复能力就属火绒最强了吧，360好像一般，管家(无BD)和金山就更渣

www-tekeze

happycat 发表于 2018-11-16 16:22
看来有些杀软没有隔离也不代表修复成功，跟隔离没有任何区别

本来exe被感染后修复就无法做到完全修复，但Office文档修复后还是不错，只是宏没有了，文档不至于被删。。。这个virut厉害之处是会令Windows系统的文件保护失效，本来系统程序是受保护的，无法篡改，比如即使你是系统管理员登录，想删系统程序也删不了。

智量官方

happycat 发表于 2018-11-16 16:05
智量是不是对感染型病毒的查杀能力不是很好? @智量官方

智量从设计开始就没有把感染型病毒列为技术重心, 基于以下几点原因:

1. 感染型病毒带来的实际危害并没有其它流行恶意程序大，据我们观察，除很少sality变种CC还存活之外，四大感染型病毒:Virut, Sality, Ramnit, Parite 全网活动样本基本都是死毒。即使有存活CC，在中国Sality也很少表现出国外的安装流氓软件现象，可能和犯罪集团所在地域有关。

所以感染型病毒看似厉害，实际对用户利益却无法造成实际伤害。危害比不上现在流行的恶意远控，键盘记录等。

2. 感染型病毒不是恶意程序的发展趋势，恶意程序的发展趋势是逐利，而感染性病毒动静太大，与逐利目标并不契合。所以感染型病毒是在逐步消亡.

3. 修复感染性病毒的投入不小，但是收益却不大。我们现在的主要精力在于解决流行高危害恶意程序。

上面并不是否认感染性程序给用户带来的困扰，事实上我们每天用户当作误报上报给我们的样本大约有10%都感染了ramnit或者sality, 但是用户却没有觉察到，我们下一步会考虑推送专杀工具到终端解决此类问题。

@www-tekeze @happycat

www-tekeze

happycat 发表于 2018-11-16 16:29
国内的修复能力就属火绒最强了吧，360好像一般，管家(无BD)和金山就更渣

毒霸比管家强得多，修复Office、CAD还是不错。

Jerry.Lin

www-tekeze 发表于 2018-11-16 16:15
没样本哈希，当然我传这些是被感染的样本，也不好比较。

感染型跟Hash有什么关系？

图上的那个框框：

Threat Variant Name   中文 威胁变种名

就是9年的的变种了啊

www-tekeze

191196846 发表于 2018-11-16 16:44
感染型跟Hash有什么关系？

图上的那个框框：

这个我知道啊，所以只能说9年历史是Rirut家族，至于这个帖的样本是不是近期的变种，无法判断吧？

PS：如果是近期变种，某些提取表层特征码的杀软就识别不了，当然你说它辣鸡我也不反对。

幽冥の龙

www-tekeze 发表于 2018-11-16 15:48
我觉得两者关系是：优势不重复、劣势互补，1+1=2 。。

对5.0火绒查杀率也别抱太大希望，不信到 ...

感觉现在智量问题还是比较多。。 今天换了360极速浏览器 发现插件装不了，提示无法更改目录，后来发现是智量的锅，关了质量就好了，也不知道啥原因提示都没的。  然后因为装了火绒 WIN10 的WD是关掉的，今天突然蹦出来WD更新。。。然后我看了下WD不知道什么时候打开了，火绒显示的关闭状态…… 但我火绒明明开着呢，不知道是不是因为装智量的时候 覆盖掉了  被系统判断成没安装杀软了……然后又重新安装了一遍火绒 WD自动关掉了……
另外感觉智量挺卡文件的。。我估计浏览器安装不了插件也是这个原因，被智量卡住了。
我玩网游FF14 打开游戏都要等很久，把FF14文件夹加入信任也不好使。。卸载智量后游戏秒开
哦不过也有可能是WD卡的。。毕竟我也没发现WD一直开着。。 等于电脑上有3个杀软同时工作

wowocock

www-tekeze 发表于 2018-11-16 16:36
本来exe被感染后修复就无法做到完全修复，但Office文档修复后还是不错，只是宏没有了，文档不至于被删。 ...

系统文件被感染的修复，360是强项，因为采用了系统文件替换的流程，所有的微软系统文件，360后台都有对应的下载，所以即使所有系统文件都被感染，也都能用系统原装的下载恢复，不存在常规修复出现的问题。