【开放测试】卡饭病毒样本包 20200620

alalei

测试环境：Windows 10 x64
测试产品：Mcafee vse
病毒库版本：2020-06-21
测试项目：扫描
测试配置：标准
结果：扫描（276/302）= 91.39%

dfliaoyue

测试环境：Windows 10 x64
测试产品：Bitdefender Internet Security
病毒库版本：2020-06-21 (18:36)
测试项目：扫描
测试配置：标准
结果：扫描剩余14个，288/302=95.3%；没有测试双击
日志：
P.S. 日志中是第一次扫描后的日志，余下两个威胁（似乎是某自解压下的文件）无法直接删除，没有处理，此时剩余15个文件。立刻重新扫描，自动处理两个威胁，删除了一个文件，剩余14个。

智量官方

swizzer 发表于 2020-6-21 10:17
感谢解答...我还以为是相关模型出现了过拟合现象呢（感觉最近很多样本都没有被报相关报法，也有很多样本 ...

你好，有很多样本绕过主防吗? 有没有绕过需要判断是否中毒，像这个帖子的样本来说，我们双击过, 没有发现绕过啊. 不过感觉现在有的时候用户测试和我们这边测试情况不一样, 比如这个 QVM360测试 Kafan_Sample_6d3835fb04b5ac6df349b5d58f02018d0f0e93fc16fde1fbedfa1ef2422dfa58.xls，wscript.exe开了但是智量miss， 我们这双击是拦截了rundll32, 根本没有wscript.exe啊。

还有是否MISS要观察一下系统是否有异常，有的OFFICE文件是下载者, 启用宏之后有的时候CC服务器都已经DOWN掉了或者被墙了导致下载不下来，这种情况不能叫MISS的。还有的样本会判断虚拟机或者一些必须的条件，没满足会一直休眠, 这种特征是CPU占用一直是零。这种没杀也不称为MISS的。由于时间有限，我们又不可能对用户的所有双击情况验证。如果有主防无法拦截又确认中毒的样本，麻烦通知我们一下，我们单独对这样本进行测试，谢谢.

智量官方

swizzer 发表于 2020-6-21 10:17
感谢解答...我还以为是相关模型出现了过拟合现象呢（感觉最近很多样本都没有被报相关报法，也有很多样本 ...

另外比如像这个帖子的样本:https://bbs.kafan.cn/thread-2184479-1-1.html

我们用30天前的病毒库测试，内存防护都是会杀的, 病毒名MEMRAY:Malcode.F. 现在用户和我们在某些样本双击测试结果不一致也是让我们比较困扰的。有时间可以在干净的虚拟机上安装智量的老安装包，断网测试看看是否会报，如果不报我们可以远程看看到底是什么原因。由于用户每天测试的样本很多，我们也无法一一验证，只能选择一些确定是毒，危害较大的针对性看看什么原因。

智量官方

swizzer 发表于 2020-6-20 21:40
你测的是2.64啊···我来测2.65好了

测试环境：win7 实体机

像国外的一些民间测试要比较严谨一点，样本一般是一个个双击，每一个样本会间隔一段时间，避免污染。
样本运行后会使用一些高检测率扫描器验证是否中毒。这样判断是否真正MISS要好一些, 当然现在每个人都比较忙，时间有限，不过也可以参照一下，或者用一些ANTI-ROOTKIT工具比如PCHUNTER看看是否真的中毒，有兴趣可以看看malwaretips的测试:

https://malwaretips.com/threads/ ... -2020-report.97253/

swizzer

智量官方 发表于 2020-6-21 19:51
你好，有很多样本绕过主防吗? 有没有绕过需要判断是否中毒，像这个帖子的样本来说，我们双击过, 没有发现 ...

您好，我做出相关判断是基于以下几个现象：
第一，最近双击时，有几个APT（比如https://bbs.kafan.cn/thread-2184567-1-1.html）在我这里成功发作，没有触发智量主防；
第二，我昨天在检查虚拟机时发现有很多病毒衍生物，说明在这几天中有一些（大约27个）样本绕过了智量主防——当然，由于我当时并没有用相关工具监控行为，故不确定是哪些样本绕过了主防；
第三，有数个APT样本在第一时间绕过主防，并未触发MalBehavior报法，有几个被MEMRAY杀掉也是MalThread报法而非MalCode（在我这里），有一个（https://bbs.kafan.cn/thread-2184688-2-1.html）直接双击白文件主防无反应，必须用regsvr32注册才会被杀。因此，我揣测主防模型可能需要进行调整。

在以后测试时我也会更加严谨的！也@QVM360

bandman

测试环境：Windows Server 2019 Std
测试产品：Huorong Internet Security
病毒库版本：5.0.46.4 Definition: 2020-06-19
结果：扫描（92/302） + 执行（4/210）= 总计 （96/302）

智量官方

swizzer 发表于 2020-6-21 22:45
您好，我做出相关判断是基于以下几个现象：
第一，最近双击时，有几个APT（比如https://bbs.kafan ...

1. 第一个我们这也没反应，不过病毒没有连上CC
2. 如何得出27个绕过的结论呢？是27个衍生物吗？如果没删除麻烦截图给我们看看
3. 我们执行此白文件没有进程产生Win10+win7, 你那也进程能启动吗?

swizzer

智量官方 发表于 2020-6-22 13:02
1. 第一个我们这也没反应，不过病毒没有连上CC
2. 如何得出27个绕过的结论呢？是27个衍生物吗？如果没删 ...

真是抱歉，我当时没截图就删了衍生物···等我这几天复现一遍再截图吧

至于那个样本，我这里执行后会有进程（该白文件）驻留，随后主防杀了一个class文件，但由于我测试时还有另一个样本驻留内存，故不确定该class文件是否为此样本生成···（我的错）不过样本本体（白文件）未触发主防。

感谢官人耐心解答

51ed

第一次研究病毒样本，主要是选择合适的杀毒软件。不知在sandbox是不是能保证安全