7c351e9d88c4a09ec6982e6964e053dc9dcb1666e15da28c3d1ad0b88e86b5bb

www-tekeze

杀软病综合医院 发表于 2019-11-27 22:29
供后人参考，以后会遇见新类型未知病毒的，入库速度也是一个参数

Heur杀是本地AI引擎检出，你用智量安装包安装完，断网不需要更新就能杀！
莫名其妙，与入库速度有啥关系。。   PS：就算是Trojan报的也不一定是刚入库。

杀软病综合医院

www-tekeze 发表于 2019-11-27 22:56
Heur杀是本地AI引擎检出，你用智量安装包安装完，断网不需要更新就能杀！
莫名其妙，与入库速度有啥关系 ...

举个例子，比如现有病毒都是A1,A2,A3,A4,那么它总结出规律，有A即为病毒，现在突然有一天来了一个代码B6,历史上头一次遇见，AI这时候能不能判定是不是病毒？假如第一小时不能判定，到第三小时判定，说明它的判定速度为二小时。

Jerry.Lin

SEP
Trojan.Gen.MBT

智量官方

aboringman 发表于 2019-11-27 17:50
360：killed.

Trojan.Generic

Ursnif网银木马, 和这个贴是一样的:https://bbs.kafan.cn/thread-2165885-1-1.html

Ursnif算是最隐蔽的一类木马了。静态上木马本体是运行时在内存释放的，API也是根据内置的hash table动态解密，动态取址的。由于这些特性在静态上能放倒很大一批杀毒软件.

动态上该木马小心翼翼绝不踩红线，调动IE都是用com组件启动的，抛弃了之前的QueueApcThread方式。该IE进程会将上线信息通过HTTP POST方式发给CC， 木马内置了几个CC服务器, google.com, gmail.com 还有个microsoft.com都是用来迷惑安全分析用的，该木马会根据用户地理位置和是否虚拟机等选择CC服务器，如果地理位置对了，那就会连接真的CC服务器了.

这木马想尽招数躲避安全软件反而会成为它的命门，智量下个版本基于机器学习的深度内存检测会干掉这类木马.