PPTV(pplive)_forap_1084_9993.exe + txupd.exe

驭龙

B100D1E55 发表于 2019-8-14 10:19
那真是……太不幸了

刚刚，我看到ESET这句话，比较有意思。

ESET Dynamic Threat Defense (EDTD) is a system of multiple cloud components, allowing a customer’s infrastructure to request information about previously analyzed samples directly from ESET’s internal database  If a unique (never-seen-before) sample is part of an inquiry, it is uploaded to ESET’s servers for deep analysis and evaluation – via ESET engine including Augur  Results are instantly returned to the customer Both of these products are designed to leverage advantages of the Augur engine and to work in sync

如果个人版完全开放augur引擎，那岂不是就是没有EDTD分析报告的EDTD简化版？如果是这样，那真的是更让人期待了

B100D1E55

驭龙 发表于 2019-8-14 10:23
刚刚，我看到ESET这句话，比较有意思。

如果个人版完全开放augur引擎，那岂不是就是没有EDTD分析报告 ...

云端有三个组件，1）静态ML引擎的完整版，2）仿真引擎和对应的6个传统检测模型+神经网络，3）沙箱内存相似性分析。估计客户端新增的这个就是第一个引擎的微缩版（体积相较于其他厂来说算相当小的了……）。

所以说目前客户端对应云端的的东西基本都有了，只不过是相对保守的版本。其中新的ML引擎对应1）但检测被压得很保守，而传统扫描引擎对应2），但仿真深度和打分方式和云端是不一样的，最后AMS近似于3），只不过打分方式也不大一样，毕竟客户端检测的可控性和性能更重要。

E家的检测很神奇，云端也没用传统意义上的行为打分器，都是代码分析，不像BD同学……
话说企业版最近也有那个高级机器学习模块了，版本和13是一样的

驭龙

B100D1E55 发表于 2019-8-14 13:26
云端有三个组件，1）静态ML引擎的完整版，2）仿真引擎和对应的6个传统检测模型+神经网络，3）沙箱内存相 ...

其实ESET的本地功能也是我非常满意的，似乎AMS报的，基本上都是在本地沙箱内运行，这种智能沙箱太少了，而且还不影响性能

本地也是有仿真引擎，只是比不上云端的那么完整，不过我觉得好像ESET近期还是会有新功能加入，不知直觉准不准

B100D1E55

驭龙 发表于 2019-8-14 13:31
其实ESET的本地功能也是我非常满意的，似乎AMS报的，基本上都是在本地沙箱内运行，这种智能沙箱太少了， ...

AMS不算沙箱诶，还是我理解错了你的意思？

驭龙

B100D1E55 发表于 2019-8-14 13:35
AMS不算沙箱诶，还是我理解错了你的意思？

我的意思是如下图的情况，执行文件执行以后先是入沙箱分析，之后就是高级内存分析，这种策略，本身不是很好吗？按理说沙箱分析在前部，高级内存分析在后方，高级内存分析发现威胁的话，因前部文件在沙箱中，岂不是对系统的影响有限？当然，我也只是猜测，不知是否AMS发现威胁以后会不会倒沙

B100D1E55

驭龙 发表于 2019-8-14 13:47
我的意思是如下图的情况，执行文件执行以后先是入沙箱分析，之后就是高级内存分析，这种策略，本身不是很 ...

其实客户端上面AMS对应的那个沙箱就是实机了。在客户端上是实机运行然后客户端会切入分析代码，一旦发现带毒的代码就开始清除，所以AMS杀之前的那些系统影响是没办法还原的（因此后来消费者版里才做了那个清除小工具）。AMS对性能有影响，这个之前也测过程序冷启动速度会拖慢~20%

其实AMS这种东西其他厂商真要想做，在实现上不是不可能的任务，但有两个主要难题，第一个是性能影响。其实AMS刚公测的时候官方很在意的就是性能损失，还要解决JIT之类的情况。另一个难题是需要一个检测模型来高效率通过这个层检测。关于这点E家最巧妙的在于其本身DNA特征基本就是内存特征，所以AMS基本可以沿用扫描引擎的库（所以其他层例如勒索防御/行为检测/机器学习都有自己的独立特征库，但是AMS就没有），一旦这个防御层做起来之后基本所有已有毒库特征都能被复用到AMS层上，省去了额外开发新客户端模型和加特征的功夫。这点其他很多厂商就做不到，比如BD基本上每个防御层都是独立运作并有自己的模型，所以内存分析就没办法做起来，卡巴也类似，只有一小部分毒做了内存检测特征

驭龙

B100D1E55 发表于 2019-8-14 14:04
其实客户端上面AMS对应的那个沙箱就是实机了。在客户端上是实机运行然后客户端会切入分析代码，一旦发现 ...

我刚刚也去翻了一下白皮书，AMS是在沙箱分析不出威胁的情况下后端检测手段，确实是无法撤销之前的行为，这确实是有一点可惜。

E的性能，现在好很多了，我机械硬盘安装两天，建立高级缓存以后，就真的不卡了，堪比当初的4.2经典，这真的是难得啊，毕竟功能已经增加这么多，还不是太影响性能，不容易啊。

话说，WD自己说本地也搞了内存扫描引擎，但基本上看不到效果，我暂时还是ESET吧，现在WD树大招风，被针对是必然的结果

icerain

B100D1E55 发表于 2019-8-14 00:54
最简单的方法就是弄个急救箱全盘扫一下。

如果要溯源的话最简单的方法就是用HIPS写一个规则，比如当那 ...

急救箱全盘扫过了，现在只要一启动QQ，就会生成C:\Users\XXX\AppData\Roaming\Tencent\QQ\AuTemp\3941034042\NewUpd\txupd.exe，然后智量就报读拦截，QQ安装得目录也用智量扫过了没有发现问题。

B100D1E55

icerain 发表于 2019-8-14 16:52
急救箱全盘扫过了，现在只要一启动QQ，就会生成C:%users\XXX\AppData\Roaming\Tencent\QQ\AuTemp\3941034 ...

17年就出现过：https://bbs.kafan.cn/thread-2111634-1-1.html

我觉得这种一般杀毒可能都杀不出本体，之前感染金山的那个本体还有pplive有效数字签名（ESET信誉云上是绿色，虽然不知道有没有什么白加黑成分）。所以唯一简单的方法就是用那个文章里的方法，比如DirectoryMonitor/ProcessMonitor监控这个路径下的txupd.exe是哪个文件创建的，如果不是猥琐系应该能马上揪出来

或者用杀软的HIPS，比如用ESET HIPS规则


下一步源程序选择所有程序

接下来勾选文件写入：



下一步目标文件填入你说的那个路径

添加规则后可以尝试启用qq应该会有HIPS弹窗并标明源进程是谁
从那个帖子31楼回复来看有可能是腾讯官方txupd后台搞静默安装，如果是真的也不意外……

ELOHIM

微软IE 11浏览器提示病毒。
SCEP杀掉全部。

MSDTC、9993、TXUPD提示PUA程序。
993提示特洛伊木马程序。