远古勒索病毒, 能过GD

温馨小屋

huang1111 发表于 2019-5-5 21:35
小哥哥，，你不知道么，hips属于主防，并不是pdm才是主防
还有，报毒名字是启发式报毒，卡巴云拉黑报毒 ...

这东西应该是常识了吧，应用程序控制会查云，如果被拉黑就会直接不信任组，这时候并不会报出UDS，真想测主防就得断网系统监控

54ss

www-tekeze 发表于 2019-5-5 21:35
5.0火绒有问题，自己的勒索诱饵都被加密了还没反应。。   看时间都变当前了。
开始怀疑是否是2.0 ...

这种时候不是应该@火绒工程师 吗？

huang1111

温馨小屋 发表于 2019-5-5 21:41
这东西应该是常识了吧，应用程序控制会查云，如果被拉黑就会直接不信任组，这时候并不会报出UDS，真想测 ...

不是，你还没明白我的意思。。这个病毒是启发式报的，如果是云报的，那名字会直接改成uds，权重是uds比heur高，你看清楚我的截图了么。。。。

c/mm

Dr.web

www-tekeze

54ss 发表于 2019-5-5 21:44
这种时候不是应该@火绒工程师 吗？

今天头晕，又搞错了。。。编辑掉。。

左手

1. 2019/5/5 星期日 21:52:10    创建文件夹 风险提示:低风险    允许
   
2. 进程: c:\users\administrator\desktop\frs 勒索\frs 勒索.exe
   
3. 目标: C:\Users\Administrator\AppData\Local\qb4B785B.1C
   
4. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]《写入》f080_程序数据appdata
   
5. 
   
6. 2019/5/5 星期日 21:52:16    创建文件 风险提示:低风险    允许
   
7. 进程: c:\users\administrator\desktop\frs 勒索\frs 勒索.exe
   
8. 目标: C:\Users\Administrator\AppData\Local\qb4B785B.1C\Chinese_national_flag.png
   
9. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\appdata\local\*\*
   
10. 
    
11. 2019/5/5 星期日 21:52:23    创建文件 风险提示:低风险    允许
    
12. 进程: c:\users\administrator\desktop\frs 勒索\frs 勒索.exe
    
13. 目标: C:\Users\Administrator\AppData\Local\qb4B785B.1C\FRS_Decryptor.exe
    
14. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\appdata\local\*\*
    
15. 
    
16. 2019/5/5 星期日 21:52:28    创建新进程 风险提示:未知    允许
    
17. 进程: c:\users\administrator\desktop\frs 勒索\frs 勒索.exe
    
18. 目标: c:\windows\system32\cmd.exe
    
19. 命令行: cmd.exe /c ""C:\Users\ADMINI~1\AppData\Local\Temp\CHD7VUS1.bat" "C:\Users\Administrator\Desktop\FRS 勒索\FRS 勒索.exe" "
    
20. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe
    
21. 
    
22. 2019/5/5 星期日 21:52:34    删除文件夹 风险提示:木马    允许
    
23. 进程: c:\users\administrator\desktop\frs 勒索\frs 勒索.exe
    
24. 目标: C:\Users\Administrator\AppData\Local\qb4B785B.1C
    
25. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*
    
26. 
    

复制代码

c/mm

双击

温馨小屋

huang1111 发表于 2019-5-5 21:46
不是，你还没明白我的意思。。这个病毒是启发式报的，如果是云报的，那名字会直接改成uds，权重是uds比he ...

就算是启发报的，你觉得能算主防杀吗，这都化石病毒了，启发规则不覆盖那都不好意思了，SW才是真正的行为拦截，应用程序控制只能算一个带查询的hips，再说你觉得这个报毒名应该出现在这里吗，难道应用程序控制能顶杀毒引擎？
要是这个真是新病毒，如果引擎没杀的话，应用程序控制应该也不会有动作，顶多低限制组，到最后还得SW

左手

温馨小屋 发表于 2019-5-5 21:41
这东西应该是常识了吧，应用程序控制会查云，如果被拉黑就会直接不信任组，这时候并不会报出UDS，真想测 ...

我这实机双击。没有想像的那么多动作
只有这些。
什么原因。
不会是怕了MD？

静影沉璧

MES 10.6 （联网测试）