#Downloader #RTF

显示全部楼层 · 发表于 2020-2-28 23:18:18

bbszy 发表于 2020-2-28 21:31
咖啡miss

大哥，你难道不知道咖啡不双击=趋势不联网吗

咖啡双击阻止了所有powershell启动请求，防御成功：

SKY-PC\Sky 运行的 cmd.exe 已访问 C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe。自适应威胁防护已阻止访问，因为信誉 (很可能是恶意文件) 低于配置的阻止阈值。
分析器/检测程序
产品名称 McAfee Endpoint Security
产品版本 10.7.0.1740
McAfee GTI 查询否
功能名称 On-Execute Scan
威胁
执行的操作阻止
威胁类别检测到恶意软件
威胁在创建时被检测到否
威胁事件 ID 35104
威胁已被处理是
威胁名称 JTI/Suspect.852207
威胁严重性严重
威胁时间戳 2020年2月28日下午11:16
威胁类型特洛伊木马程序
源
源访问时间 2020年2月28日下午11:16
源创建时间 2019年12月2日下午2:31
源文件路径 C:\Windows\System32
源文件大小 278528
源主机名 Sky-PC
源修改时间 2019年12月2日下午2:31
源进程名称 cmd.exe
源用户名 SKY-PC\Sky
目标
目标访问时间 2020年2月28日下午11:16
目标创建时间 2018年9月15日下午3:29
目标文件大小(字节) 448000
目标主机名 Sky-PC
目标修改时间 2018年9月15日下午3:29
目标名 powershell.exe
目标路径 C:\Windows\System32\WindowsPowerShell\v1.0
目标进程名 powershell.exe
目标用户名 SKY-PC\Sky
其他
媒介类型本地系统
检测消息自适应威胁防护检测
检测前的持续时间(天) 530

复制代码

显示全部楼层 · 发表于 2020-2-28 23:23:38

Malwarebytes
9/10

Generic.Malware/Suspicious, C:\USERS\ZHONG\DOWNLOADS\MALWARETEST\KAFAN\EXE样本10X_82\EXE样本10X_82\#82 (2).VIR, 使用者無動作, 0, 392686, 1.0.19960, , shuriken,
Generic.Malware/Suspicious, C:\USERS\ZHONG\DOWNLOADS\MALWARETEST\KAFAN\EXE样本10X_82\EXE样本10X_82\#82 (8)VIR, 使用者無動作, 0, 392686, 1.0.19960, , shuriken,
Generic.Malware/Suspicious, C:\USERS\ZHONG\DOWNLOADS\MALWARETEST\KAFAN\EXE样本10X_82\EXE样本10X_82\#82 (6).VIR, 使用者無動作, 0, 392686, 1.0.19960, , shuriken,
Trojan.RCrypt.MSIL.Generic, C:\USERS\ZHONG\DOWNLOADS\MALWARETEST\KAFAN\EXE样本10X_82\EXE样本10X_82\#82 (1).VIR, 使用者無動作, 10395, 794733, 1.0.19960, 6A5B7F9AF1E276D703E72E6E, dds, 00609987
Trojan.MalPack.AutoIt, C:\USERS\ZHONG\DOWNLOADS\MALWARETEST\KAFAN\EXE样本10X_82\EXE样本10X_82\#82 (10).VIR, 使用者無動作, 7667, 770827, 1.0.19960, 8CBFCB802738AC171D0F3F0D, dds, 00609987
Trojan.MalPack.AutoIt, C:\USERS\ZHONG\DOWNLOADS\MALWARETEST\KAFAN\EXE样本10X_82\EXE样本10X_82\#82 (5).VIR, 使用者無動作, 7667, 770827, 1.0.19960, 8CBFCB802738AC171D0F3F0D, dds, 00609987
Trojan.Crypt, C:\USERS\ZHONG\DOWNLOADS\MALWARETEST\KAFAN\EXE样本10X_82\EXE样本10X_82\#82 (4).VIR, 使用者無動作, 4129, 794985, 1.0.19960, , ame,
Trojan.MalPack.AutoIt, C:\USERS\ZHONG\DOWNLOADS\MALWARETEST\KAFAN\EXE样本10X_82\EXE样本10X_82\#82 (7).VIR, 使用者無動作, 7667, 770827, 1.0.19960, 8CBFCB802738AC171D0F3F0D, dds, 00609987
Trojan.RCrypt.MSIL.Generic, C:\USERS\ZHONG\DOWNLOADS\MALWARETEST\KAFAN\EXE样本10X_82\EXE样本10X_82\#82 (9).VIR, 使用者無動作, 10395, 794733, 1.0.19960, 6A5B7F9AF1E276D703E72E6E, dds, 00609987

复制代码

显示全部楼层 · 发表于 2020-2-28 23:24:41

Jerry.Lin 发表于 2020-2-28 23:23
Malwarebytes
9/10

兄弟发串了。

显示全部楼层 · 发表于 2020-2-28 23:25:42

renyifei 发表于 2020-2-28 09:24
兄弟发串了。

刚睡醒，不好意思

显示全部楼层 · 发表于 2020-2-28 23:36:13

记录微笑发表于 2020-2-28 23:18
大哥，你难道不知道咖啡不双击=趋势不联网吗

咖啡双击阻止了所有powershell启动请求，防御成功 ...

趋势的日常

趋势联网2/10
趋势不联网1/10

应该没什么不同

显示全部楼层 · 发表于 2020-2-28 23:43:13

renyifei 发表于 2020-2-28 23:36
趋势的日常

趋势联网2/10

趋势企业版的机器学习还是挺强的，断网防御力也可以

个人版这个功能弱很多，好像是集成在aegis主防里

显示全部楼层 · 发表于 2020-2-29 10:00:02

Black_lonely 发表于 2020-2-28 20:18
AVIRA杀

对了，Avria到底有没有主防？我问问，有人和我杠

显示全部楼层 · 发表于 2020-2-29 10:13:45

本帖最后由 Black_lonely 于 2020-2-29 10:20 编辑

真是令人摸不到发表于 2020-2-29 10:00
对了，Avria到底有没有主防？我问问，有人和我杠

以下只是我个人的想法：
样本区指南里说主防这个词没有明确的定义，本来就比较有争议。（我感觉最开始可能就是一些杀软搞出来的噱头）。然后写指南的LZ说：鄙人认为:凡是能够通过各种手段分析已经运行的程序的行为特征并因此对其安全性作出判断的模块都可以叫“主防”。

红伞的APC是依靠云端去分析程序并对其安全性作出判断的功能，只是红伞在云端分析，卡巴BD在本地分析。但我觉得目的都是一样的：就是通过分析为止程序行为来识别是否安全。

算不算主防，我觉得是算的，不过我看过APC白皮书，它的意思是当用户遇到未知文件的时候会先上传文件特征到云端进行比对，如果没有结果再完整上传文件进行分析（整个文件的分析在很快时间内就可以完成）。我在样本区测试的时候觉得应该是AVIRA本地引擎来判断是不是属于未知文件，然后再上传。因为有少部分饭友写的恶意程序根本就没触发上传的功能。所以红伞的APC主防，我觉得是比卡巴BD这种本地主防弱的，但是也各有优劣

显示全部楼层 · 发表于 2020-2-29 10:22:47

Black_lonely 发表于 2020-2-29 10:13
以下只是我个人的想法：
样本区指南里说主防这个词没有明确的定义，本来就比较有争议。（我感觉最开始可 ...

我看那个Real-Time-Protection应该是实时防护的意思。

显示全部楼层 · 发表于 2020-2-29 10:25:02

本帖最后由椿花湫月于 2020-2-29 10:26 编辑

[病毒样本] #Downloader #RTF

评分

本帖子中包含更多资源