PPTV(pplive)_forap_1084_9993.exe + txupd.exe

显示全部楼层 · 发表于 2019-8-13 15:58:31

黑寡妇全杀
对象： pptv(pplive)_forap_1084_9993.exe
威胁： Trojan.SpyBot.810
对象： PPTV(pplive)_forap_1084_9993.exe
威胁： Trojan.Siggen8.39782
对象： txupd.exe
威胁： Trojan.Siggen8.39782

显示全部楼层 · 发表于 2019-8-13 16:59:20

趋势 Mac 只报 TROJ_FRS.0NA103H919 PPTV(pplive)_forap_1084_9993.exe

显示全部楼层 · 发表于 2019-8-13 17:12:07

B100D1E55 发表于 2019-8-13 12:40
所以说是杀掉后又会生成吗？我主要意思是你可以用里面那个方法看一下源头是什么

杀掉后不会马上重生，要过一段时间，就是用着用着不知不觉什么时候又有了。

显示全部楼层 · 发表于 2019-8-14 00:54:29

icerain 发表于 2019-8-13 17:12
杀掉后不会马上重生，要过一段时间，就是用着用着不知不觉什么时候又有了。

最简单的方法就是弄个急救箱全盘扫一下。

如果要溯源的话最简单的方法就是用HIPS写一个规则，比如当那个文件在路径下被任意程序生成的时候追溯原始进程是谁。不是太猥琐的毒很快就找到了。

显示全部楼层 · 发表于 2019-8-14 08:55:52

B100D1E55 发表于 2019-8-14 00:54
最简单的方法就是弄个急救箱全盘扫一下。

如果要溯源的话最简单的方法就是用HIPS写一个规则，比如当那 ...

不得不说，ESET的响应速度，越来越快了
样本昨天就入库了，不双击也杀了
https://www.virusradar.com/en/Win32_GenKryptik.DQBV/description

显示全部楼层 · 发表于 2019-8-14 09:41:59

本帖最后由 B100D1E55 于 2019-8-14 09:45 编辑

驭龙发表于 2019-8-14 08:55
不得不说，ESET的响应速度，越来越快了
样本昨天就入库了，不双击也杀了
https://www.virusradar.com/e ...

嗯嗯，客户端AMS触发的基本上半个小时内云端会拉黑。ESET一向已入库毒变种拉黑速度很快，包括botnet触发也是。
而未知的则靠机器学习筛选，筛选出来的按优先级人工入库。因此他们的特征质量一向比较不错。我之前试过免杀发现特征都提在关键点上，明显有人工参与的痕迹

显示全部楼层 · 发表于 2019-8-14 09:48:20

B100D1E55 发表于 2019-8-14 09:41
嗯嗯，客户端AMS触发的基本上半个小时内云端会拉黑。ESET一向已入库毒变种拉黑速度很快，包括botnet触发 ...

这确实是不错，现在就看augur解除误报控制，发挥威力了。
话说我昨天上午把样本发个给WD的上报渠道，到现在也毫无反应，上报方面确实是ESET的响应速度更好

显示全部楼层 · 发表于 2019-8-14 10:01:07

驭龙发表于 2019-8-14 09:48
这确实是不错，现在就看augur解除误报控制，发挥威力了。
话说我昨天上午把样本发个给WD的上报渠道，到 ...

没事，等其他厂都开始杀了WD会自动纳入库里的

显示全部楼层 · 发表于 2019-8-14 10:06:18

B100D1E55 发表于 2019-8-14 10:01
没事，等其他厂都开始杀了WD会自动纳入库里的

估计难，按理说我双击了，WD的行为遥测应该把样本反馈给云，可看日志行为遥测根本没反应，所以十有八九，WD已经把这文件的信誉评级为良好，哈

显示全部楼层 · 发表于 2019-8-14 10:19:37

驭龙发表于 2019-8-14 10:06
估计难，按理说我双击了，WD的行为遥测应该把样本反馈给云，可看日志行为遥测根本没反应，所以十有八九， ...

那真是……太不幸了

[可疑文件] PPTV(pplive)_forap_1084_9993.exe + txupd.exe