搜索
楼主: 761773275
收起左侧

[病毒样本] 远古勒索病毒, 能过GD

  [复制链接]
温馨小屋
发表于 2019-5-5 21:41:52 | 显示全部楼层
huang1111 发表于 2019-5-5 21:35
小哥哥,,你不知道么,hips属于主防,并不是pdm才是主防
还有,报毒名字是启发式报毒,卡巴云拉黑报毒 ...

这东西应该是常识了吧,应用程序控制会查云,如果被拉黑就会直接不信任组,这时候并不会报出UDS,真想测主防就得断网系统监控
54ss
发表于 2019-5-5 21:44:52 | 显示全部楼层
www-tekeze 发表于 2019-5-5 21:35
5.0火绒有问题,自己的勒索诱饵都被加密了还没反应。。   看时间都变当前了。
开始怀疑是否是2.0 ...

这种时候不是应该@火绒工程师 吗?
huang1111
发表于 2019-5-5 21:46:20 | 显示全部楼层
温馨小屋 发表于 2019-5-5 21:41
这东西应该是常识了吧,应用程序控制会查云,如果被拉黑就会直接不信任组,这时候并不会报出UDS,真想测 ...

不是,你还没明白我的意思。。这个病毒是启发式报的,如果是云报的,那名字会直接改成uds,权重是uds比heur高,你看清楚我的截图了么。。。。
c/mm
发表于 2019-5-5 21:47:49 | 显示全部楼层
Dr.web

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-5-5 21:49:44 | 显示全部楼层
本帖最后由 www-tekeze 于 2019-5-5 22:08 编辑
54ss 发表于 2019-5-5 21:44
这种时候不是应该@火绒工程师 吗?

今天头晕,又搞错了。。。编辑掉。。

左手
发表于 2019-5-5 21:53:18 | 显示全部楼层
  1. 2019/5/5 星期日 21:52:10    创建文件夹 风险提示:低风险    允许
  2. 进程: c:\users\administrator\desktop\frs 勒索\frs 勒索.exe
  3. 目标: C:\Users\Administrator\AppData\Local\qb4B785B.1C
  4. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]《写入》f080_程序数据appdata

  5. 2019/5/5 星期日 21:52:16    创建文件 风险提示:低风险    允许
  6. 进程: c:\users\administrator\desktop\frs 勒索\frs 勒索.exe
  7. 目标: C:\Users\Administrator\AppData\Local\qb4B785B.1C\Chinese_national_flag.png
  8. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\appdata\local\*\*

  9. 2019/5/5 星期日 21:52:23    创建文件 风险提示:低风险    允许
  10. 进程: c:\users\administrator\desktop\frs 勒索\frs 勒索.exe
  11. 目标: C:\Users\Administrator\AppData\Local\qb4B785B.1C\FRS_Decryptor.exe
  12. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\appdata\local\*\*

  13. 2019/5/5 星期日 21:52:28    创建新进程 风险提示:未知    允许
  14. 进程: c:\users\administrator\desktop\frs 勒索\frs 勒索.exe
  15. 目标: c:\windows\system32\cmd.exe
  16. 命令行: cmd.exe /c ""C:\Users\ADMINI~1\AppData\Local\Temp\CHD7VUS1.bat" "C:\Users\Administrator\Desktop\FRS 勒索\FRS 勒索.exe" "
  17. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe

  18. 2019/5/5 星期日 21:52:34    删除文件夹 风险提示:木马    允许
  19. 进程: c:\users\administrator\desktop\frs 勒索\frs 勒索.exe
  20. 目标: C:\Users\Administrator\AppData\Local\qb4B785B.1C
  21. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

复制代码
c/mm
发表于 2019-5-5 21:53:47 | 显示全部楼层
双击




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
温馨小屋
发表于 2019-5-5 21:54:57 | 显示全部楼层
本帖最后由 温馨小屋 于 2019-5-5 21:56 编辑
huang1111 发表于 2019-5-5 21:46
不是,你还没明白我的意思。。这个病毒是启发式报的,如果是云报的,那名字会直接改成uds,权重是uds比he ...

就算是启发报的,你觉得能算主防杀吗,这都化石病毒了,启发规则不覆盖那都不好意思了,SW才是真正的行为拦截,应用程序控制只能算一个带查询的hips,再说你觉得这个报毒名应该出现在这里吗,难道应用程序控制能顶杀毒引擎?
要是这个真是新病毒,如果引擎没杀的话,应用程序控制应该也不会有动作,顶多低限制组,到最后还得SW
左手
发表于 2019-5-5 21:55:06 | 显示全部楼层
温馨小屋 发表于 2019-5-5 21:41
这东西应该是常识了吧,应用程序控制会查云,如果被拉黑就会直接不信任组,这时候并不会报出UDS,真想测 ...

我这实机双击。没有想像的那么多动作
只有这些。
什么原因。
不会是怕了MD?
静影沉璧
发表于 2019-5-5 22:02:30 | 显示全部楼层
MES 10.6 (联网测试)


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-12 19:20 , Processed in 0.063132 second(s), 15 queries .

快速回复 返回顶部 返回列表