楼主: 西行寺幽幽子.
收起左侧

[讨论] 微点在持续更新的情况下还能崛起吗?

 关闭 [复制链接]
swizzer
发表于 2020-7-30 14:27:53 | 显示全部楼层
本帖最后由 swizzer 于 2020-7-30 15:53 编辑

除了流行样本(流行到不杀都说不过去的),别的基本都不拦昨天下载微点试了试,心凉了半截。。。

比如https://bbs.kafan.cn/thread-2187402-4-1.html那个bdddf开头的,明显的注入notepad都不拦(把文件名改短才能运行起来)
还有昨天的样本包里面的jar文件,释放了一堆衍生物,主防毫无反应

而且还误报了一个我班电子白板附带的教学软件

微点佰慧
发表于 2020-7-30 14:55:07 | 显示全部楼层
swizzer 发表于 2020-7-30 14:27
除了流行样本,别的基本都不拦昨天下载微点试了试,心凉了半截。。。

比如https://bbs.kafan.cn ...

您好,这个样本,我们分析了下,因为这个样本是以创建子进程方式来注入,这里面会引入一些误报,故这块的规则是弱化的,以后会考虑个好的方式来处理!
微点佰慧
发表于 2020-7-30 15:00:31 | 显示全部楼层
a445441 发表于 2020-7-30 10:02
微点目前最大的问题还是主防规则,有云拉黑基本就是辅助功能。拉黑一点用都没有,主防还是不拦截

您好,主防规则,还有很大的优化空间,这块我们在持续改进!
swizzer
发表于 2020-7-30 15:55:47 | 显示全部楼层
微点佰慧 发表于 2020-7-30 14:55
您好,这个样本,我们分析了下,因为这个样本是以创建子进程方式来注入,这里面会引入一些误报,故这块的 ...

然而注入后的后续恶意行为也没反应这就说不过去了
微点佰慧
发表于 2020-7-30 15:58:53 | 显示全部楼层
swizzer 发表于 2020-7-30 15:55
然而注入后的后续恶意行为也没反应这就说不过去了

您好,我们这环境测试的情况是,注入后,notepad.exe退出,无恶意行为
西行寺幽幽子.
头像被屏蔽
 楼主| 发表于 2020-7-30 17:01:32 | 显示全部楼层
swizzer 发表于 2020-7-30 14:27
除了流行样本(流行到不杀都说不过去的),别的基本都不拦昨天下载微点试了试,心凉了半截。。。
...

jar那个样本你换诺顿也一样不报
swizzer
发表于 2020-7-30 17:03:58 | 显示全部楼层
本帖最后由 swizzer 于 2020-7-30 17:14 编辑
微点佰慧 发表于 2020-7-30 15:58
您好,我们这环境测试的情况是,注入后,notepad.exe退出,无恶意行为

那还真就奇怪了。
我把行为日志发给你们。

可能不完整,因为在此过程中智量高级防护拦截了本体。衍生物是我自己在关闭智量高级防护后启动的,但随后智量内存防护又杀了衍生物。

退出智量再次测试,衍生物会被本体启动,并添加计划任务、连接C&C。

衍生物包括C:\Users\Administrator\AppData\Roaming\appdata\gtguihjky.exe、C:\Program Files (x86)\NAT Manager\natmgr.exe、C:\Users\Administrator\AppData\Local\Temp\tmpXXXX(随机数字).tmp

添加计划任务的命令行
  1. schtasks.exe,        6716:0,        2264,        EXEC_create,        C:\Windows\SysWOW64\schtasks.exe,        parent_pid:3364 cmdline:'"schtasks.exe" /create /f /tn "NAT Manager Task" /xml "C:\Users\Administrator\AppData\Local\Temp\tmp29D7.tmp"
复制代码




在我们这垃圾电子白板上都能跑开

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
swizzer
发表于 2020-7-30 17:06:27 | 显示全部楼层
西行寺幽幽子. 发表于 2020-7-30 17:01
jar那个样本你换诺顿也一样不报

Recon木马,诺顿IPS就能拦住。
还有个往StartUp目录写入一堆plugin.jar的,微点也是哑火。

别把微点拿来和世界一流杀软比。不对等。
西行寺幽幽子.
头像被屏蔽
 楼主| 发表于 2020-7-30 17:09:59 | 显示全部楼层
swizzer 发表于 2020-7-30 17:06
Recon木马,诺顿IPS就能拦住。
还有个往StartUp目录写入一堆plugin.jar的,微点也是哑火。

诺顿的主防不算一流的,别吹太过了,卡饭样本正式测试前几天有人就测试了诺顿主防,有很多过诺顿主防,然后入侵防护一直报警的,还世界一流,笑死我了
西行寺幽幽子.
头像被屏蔽
 楼主| 发表于 2020-7-30 17:12:16 | 显示全部楼层
swizzer 发表于 2020-7-30 17:06
Recon木马,诺顿IPS就能拦住。
还有个往StartUp目录写入一堆plugin.jar的,微点也是哑火。

你要说卡巴是世界一流的我还信
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 00:40 , Processed in 0.104186 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表