0517高质量样本

神算子

kaba666 发表于 2019-5-17 12:28
卡巴扫描,不杀!双击不杀!
这样本虚拟机里没监控到驱动!,又是反虚拟机!!!
-

卡巴为什么 没防住

54ss

神算子 发表于 2019-5-17 20:04
卡巴为什么 没防住

因为没有反虚拟机 没有行为吧

冰血封心

麻衣神相 发表于 2019-5-17 19:46
一个病毒有多种威胁特征，BD检测到其中一种特征，报Gen:Variant.Strictor不算误报。这个样本没报远控后门 ...

我只是回复别人BD对这个样本的查杀情况，你怎么和他一样在扯别的？我说过BD查杀别的了吗？这个样本没有什么可疑的特征，只是伪造了数字签名和隐藏了远控行为。你说BD报别的？你想让BD报什么？你们这俩跑题了吧？这就是我说他连回复的文字都没看清楚就开始抬杠的原因。说什么国外国内用户少，这和少有关系吗？我今天是第一天发样本出来吗？难道他之前没有用BD扫？是谁在抬杠找事非要打脸？话说太难听了不好，不说吧又抬杠。有意思吗？就这语文水平还在安软顾问队，我很是怀疑。还有他好奇的是BD的报毒规则，BD的报毒规则出了名的摸不着头脑，我只能针对我自己的经验来判断这个样本。他说我这是瞎蒙，我根据自己的分析经验判断这个样本怎么成了瞎蒙？想要了解BD的规则没有更好办法，只能靠你对样本的分析程度来判断。因为你不是厂商，厂商也懒得鸟你。

huang1111

神算子 发表于 2019-5-17 20:04
卡巴为什么 没防住

没办法完整复现，所以只能确定在分包以后，再通过下载，可以让毒落地，但能不能跑起来是一个未知数

神算子

54ss 发表于 2019-5-17 20:52
因为没有反虚拟机 没有行为吧

那为什么小a发现了

a233

a233 发表于 2019-5-17 12:16
分析结果

补充入库后的报毒名

kaba666

神算子 发表于 2019-5-17 20:04
卡巴为什么 没防住

这个对于高级用户来说，已经防住了！我也只有这么解释！

54ss

神算子 发表于 2019-5-17 21:21
那为什么小a发现了

打错了 有反虚拟机

温馨小屋

麻衣神相 发表于 2019-5-17 19:46
一个病毒有多种威胁特征，BD检测到其中一种特征，报Gen:Variant.Strictor不算误报。这个样本没报远控后门 ...

不是这个意思的，BD大部分报法都是乱码，当年的WCRY一开始也是乱码入库，就算针对分析之后也不见得会有具体名称。lz从2017年那个帖子就这样，似乎非常热衷于能报出具体名字的杀软，BD一报人家上来就说误报，到现在还是，很多病毒都会报Gen:Variant.Strictor，包括很多热门的勒索和APT样本，lz就一口咬定是杀的签名，也是没办法。lz从头到尾逻辑混乱，光解释原因就改口好几次，每次都是逻辑不自洽，不停得露馅还一直嘴硬，帖子也是编辑了一遍又一遍，简直跟孔乙己一样

温馨小屋

神算子 发表于 2019-5-17 20:04
卡巴为什么 没防住

卡巴确实是没反应，本来这类远控类程序就不好判断，要是动作不大的话更是难以分辨，只能等文件落地发作或者远控命令下来才有可能杀。还有一个方式就是等入库杀，像卡巴诺顿这样的高度云化杀软遇到未知文件一般会提交到云，应该几天就有结果了