可能是ESET云查杀的变化

Miostartos

众所周知，Suspicious Object是ESET的云拉黑报法。
但是实际上这个报法指的是云端自动机判黑且未分类。
近期测试中发现有部分毒在本地病毒库未更新的情况下被查杀，报毒名并非Suspicious Object而且后续毒库更新后报毒再次变化
https://bbs.kafan.cn/thread-2172878-1-1.html
在2/19 15点40的时候ESET miss，上报后于17点40，手动扫描，报a variant of Win32/Kryptik.HBFR
而当时的病毒库仍然是北京时间下午1点发布的Detection Engine: 20864 (20200219)         Feb-19-2020, 05:40  CET (UTC/GMT +01:00)   

当时的扫描日志截图
而今天再次测试该样本，报毒名已经变成了
pagkit56.exe;Win32/Spy.Ursnif.CZ trojan←明显的人工分类
同样的情况出现在https://bbs.kafan.cn/thread-2173763-1-1.html这个样本
2月27日17点左右，ESET miss，在17：39云拉黑报Suspicious Object
随后在18：08我的ESET识别到
2020/2/27 18:08:01;Real-time file system protection;file;D:\test\125\BfUWEsTBKLnC.dll;a variant of Win32/GenKryptik.EFGZ trojan0AE65D5CBF72237F8C83F848009C0281CB3654E2
此时我本机的ESET仍在下午一点更新的毒库20908，随后在18.25更新至20909（发布于北京时间17：40
当天的更新日志
同时，该贴中有人测试了近期该样本，结果为Win32/Spy.Ursnif.CT，非常典型的人工分类入库。
可惜的是我忘记测试断网的情况了，而且也不确定ESET会不会有本地查杀缓存。所以本贴仅为推测。

综合来看ESET可能对云查杀部分进行了一些变化，虽然有可能只是命名的变化，但也许可以推测，ESET的云查杀比重可能会增加，因此各位还是用正版吧毕竟某宝几块钱的可能用不了几天就连不上livegrid了。

超超~.~

内力范围内，尽量支持正版。
另外，我还在期待V13.1正式版的推送，等了好久了。

Miostartos

超超~.~ 发表于 2020-3-1 19:30
内力范围内，尽量支持正版。
另外，我还在期待V13.1正式版的推送，等了好久了。

之前有人和我说这个月。
希望如此吧。
ESET的低价key被封了不能连接livegrid的问题以后可能会放大，毕竟毒库更新速度就那样，livegrid现在自动机响应速度相当的快。

renyifei

往云化发展是肯定的，毕竟连BD这种也经常@cluod的报了/

超超~.~

Miostartos 发表于 2020-3-1 19:32
之前有人和我说这个月。
希望如此吧。
ESET的低价key被封了不能连接livegrid的问题以后可能会放 ...

我之前买的20元的一号多卖，一直都没问题，估计后面ESET也会增加反盗版的力度。手握正版，心里不慌。

桑德尔

超超~.~ 发表于 2020-3-1 19:30
内力范围内，尽量支持正版。
另外，我还在期待V13.1正式版的推送，等了好久了。

在此期间，我已经换上了EES的试用版，试一试“具有攻击性”检测

桑德尔

Miostartos 发表于 2020-3-1 19:32
之前有人和我说这个月。
希望如此吧。
ESET的低价key被封了不能连接livegrid的问题以后可能会放 ...

不止是livrgrid，库也更不了，等同于废key

超超~.~

桑德尔 发表于 2020-3-2 09:39
不止是livrgrid，库也更不了，等同于废key

这样的话，正版就更香了！

超超~.~

桑德尔 发表于 2020-3-2 09:39
在此期间，我已经换上了EES的试用版，试一试“具有攻击性”检测

我用了几天的EES V7.2了，已经有了自定义选项了，但是感觉还是很安静，日常不遇毒，这些功能摆在那里就是个心理安慰

QVM360

Miostartos 发表于 2020-3-1 19:32
之前有人和我说这个月。
希望如此吧。
ESET的低价key被封了不能连接livegrid的问题以后可能会放 ...

我在X宝买的10元，一直都能连接上Livegrid，更新正常，也见过suspicious object的报法，GenKryptik的也见过，一直没有被封，买了1年的