搜索
12
返回列表 发新帖
楼主: Jirehlov1234
收起左侧

[病毒样本] 7c351e9d88c4a09ec6982e6964e053dc9dcb1666e15da28c3d1ad0b88e86b5bb

[复制链接]
www-tekeze
发表于 2019-11-27 22:56:07 | 显示全部楼层
杀软病综合医院 发表于 2019-11-27 22:29
供后人参考,以后会遇见新类型未知病毒的,入库速度也是一个参数

Heur杀是本地AI引擎检出,你用智量安装包安装完,断网不需要更新就能杀!
莫名其妙,与入库速度有啥关系。。   PS:就算是Trojan报的也不一定是刚入库。


杀软病综合医院
发表于 2019-11-27 23:16:37 | 显示全部楼层
www-tekeze 发表于 2019-11-27 22:56
Heur杀是本地AI引擎检出,你用智量安装包安装完,断网不需要更新就能杀!
莫名其妙,与入库速度有啥关系 ...

举个例子,比如现有病毒都是A1,A2,A3,A4,那么它总结出规律,有A即为病毒,现在突然有一天来了一个代码B6,历史上头一次遇见,AI这时候能不能判定是不是病毒?假如第一小时不能判定,到第三小时判定,说明它的判定速度为二小时。

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 那样会以Trojan报而不是Heur报

查看全部评分

Jerry.Lin
发表于 2019-11-28 01:04:36 | 显示全部楼层
SEP
Trojan.Gen.MBT
智量官方
发表于 2019-11-28 09:36:21 | 显示全部楼层
aboringman 发表于 2019-11-27 17:50
360:killed.

Trojan.Generic

Ursnif网银木马, 和这个贴是一样的:https://bbs.kafan.cn/thread-2165885-1-1.html

Ursnif算是最隐蔽的一类木马了。静态上木马本体是运行时在内存释放的,API也是根据内置的hash table动态解密,动态取址的。由于这些特性在静态上能放倒很大一批杀毒软件.

动态上该木马小心翼翼绝不踩红线,调动IE都是用com组件启动的,抛弃了之前的QueueApcThread方式。该IE进程会将上线信息通过HTTP POST方式发给CC, 木马内置了几个CC服务器, google.com, gmail.com 还有个microsoft.com都是用来迷惑安全分析用的,该木马会根据用户地理位置和是否虚拟机等选择CC服务器,如果地理位置对了,那就会连接真的CC服务器了.

这木马想尽招数躲避安全软件反而会成为它的命门,智量下个版本基于机器学习的深度内存检测会干掉这类木马.



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
aboringman + 1 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-12-16 18:12 , Processed in 0.064800 second(s), 16 queries .

快速回复 返回顶部 返回列表