10x

a233

Avast扫描Kill 4X

双击


有一个无法运行，一个运行后等几秒自己退出了，两个需要重启，我就不试重启后的了

www-tekeze

智量目前已清空，但恢复虚拟机快照，确实只有Heur杀5X 。。。呵呵，正好试试主防。。

www-tekeze

www-tekeze 发表于 2019-8-14 10:25
智量目前已清空，但恢复虚拟机快照，确实只有Heur杀5X 。。。呵呵，正好试试主防。。

恢复虚拟机快照、断网，因智量Scan Miss，所以开启基础实时监控。。   @记录微笑   来看看。。。

182753.cmd会调用脚本解释器wscript，但允许后出错，之后火绒没弹窗、智量主防没反应，其它4X主防全杀！

liu237

瑞星kill4
运行1个被阻止，剩下的运行内存报错，动态链注册错误，找不到指定路径

果团团

趋势科技扫描kill1x 2019-08-14 C1E31793.exe ，双击随后
2019-08-14 B93453A3自删
2019-08-13 182753这个cdm文件

2019-08-13 155649 miss

2019-08-13 164920

2019-08-13 212739杀了这个

2019-08-14 3B187E8D

2019-08-14 A7901F1B miss
2019-08-14 C627BC42 kill（忘截图了。。。）
2019-08-14 F5C841B8

total 8/10（中安全性）

记录微笑

www-tekeze 发表于 2019-8-14 10:51
恢复虚拟机快照、断网，因智量Scan Miss，所以开启基础实时监控。。   @记录微笑   来看看。。。
...

可是我测试scep扫描全miss，双击除了三个之外其他全部闪退，那三个也是进程呆滞，没反应，过一会scep云反馈杀了一个。


所以还是有可能是误报[:01但是杀了总比没反应好。

www-tekeze

记录微笑 发表于 2019-8-14 12:06
可是我测试scep扫描全miss，双击除了三个之外其他全部闪退，那三个也是进程呆滞，没反应，过一会scep云反 ...

闪退不等于没行为哦，用加了反攻击规则而且系统加固全开的火绒看看，如果是x86系统还可以用MD试试，能看到的更多。。。（但这几个样本退出智量我没试，你注意看我给的截图，基本都动了启动目录，接下来才被智量主防杀，所以还得重启才能试火绒），我也相信明显动作不会多，国外那些样本往往都是些木马类，本来就很少有破坏型的。。。

PS：说这些不等于我认为智量主防没误报，或者说不存在反应过度。。。

记录微笑

www-tekeze 发表于 2019-8-14 14:55
闪退不等于没行为哦，用加了反攻击规则而且系统加固全开的火绒看看，如果是x86系统还可以用MD试试，能看 ...

我沙盒双击的。
如果实体机双击会一大堆behaviour吧。。。

www-tekeze

记录微笑 发表于 2019-8-14 18:54
我沙盒双击的。
如果实体机双击会一大堆behaviour吧。。。

测主防最好还是用虚拟机，除非反虚拟机运行不了，沙盘有隔离测不准，但检查衍生物到不错。

www-tekeze

暗_黑 发表于 2019-8-14 08:24
安天kill  4x

现在安天杀8X 。。。管家无BD，killed 2X 。