微点在持续更新的情况下还能崛起吗？

swizzer

西行寺幽幽子. 发表于 2020-7-30 11:39
哪个样本不拦截？

除了流行样本（流行到不杀都说不过去的），别的基本都不拦昨天下载微点试了试，心凉了半截。。。

比如https://bbs.kafan.cn/thread-2187402-4-1.html那个bdddf开头的，明显的注入notepad都不拦（把文件名改短才能运行起来）
还有昨天的样本包里面的jar文件，释放了一堆衍生物，主防毫无反应

而且还误报了一个我班电子白板附带的教学软件

微点佰慧

swizzer 发表于 2020-7-30 14:27
除了流行样本，别的基本都不拦昨天下载微点试了试，心凉了半截。。。

比如https://bbs.kafan.cn ...

您好，这个样本，我们分析了下，因为这个样本是以创建子进程方式来注入，这里面会引入一些误报，故这块的规则是弱化的，以后会考虑个好的方式来处理！

微点佰慧

a445441 发表于 2020-7-30 10:02
微点目前最大的问题还是主防规则，有云拉黑基本就是辅助功能。拉黑一点用都没有，主防还是不拦截

您好，主防规则，还有很大的优化空间，这块我们在持续改进！

swizzer

微点佰慧 发表于 2020-7-30 14:55
您好，这个样本，我们分析了下，因为这个样本是以创建子进程方式来注入，这里面会引入一些误报，故这块的 ...

然而注入后的后续恶意行为也没反应这就说不过去了

微点佰慧

swizzer 发表于 2020-7-30 15:55
然而注入后的后续恶意行为也没反应这就说不过去了

您好，我们这环境测试的情况是，注入后，notepad.exe退出，无恶意行为

西行寺幽幽子.

swizzer 发表于 2020-7-30 14:27
除了流行样本（流行到不杀都说不过去的），别的基本都不拦昨天下载微点试了试，心凉了半截。。。
...

jar那个样本你换诺顿也一样不报

swizzer

微点佰慧 发表于 2020-7-30 15:58
您好，我们这环境测试的情况是，注入后，notepad.exe退出，无恶意行为

那还真就奇怪了。
我把行为日志发给你们。

可能不完整，因为在此过程中智量高级防护拦截了本体。衍生物是我自己在关闭智量高级防护后启动的，但随后智量内存防护又杀了衍生物。

退出智量再次测试，衍生物会被本体启动，并添加计划任务、连接C&C。

衍生物包括C:\Users\Administrator\AppData\Roaming\appdata\gtguihjky.exe、C:\Program Files (x86)\NAT Manager\natmgr.exe、C:\Users\Administrator\AppData\Local\Temp\tmpXXXX（随机数字）.tmp

添加计划任务的命令行

1. schtasks.exe,        6716:0,        2264,        EXEC_create,        C:\Windows\SysWOW64\schtasks.exe,        parent_pid:3364 cmdline:'"schtasks.exe" /create /f /tn "NAT Manager Task" /xml "C:\Users\Administrator\AppData\Local\Temp\tmp29D7.tmp"

复制代码

在我们这垃圾电子白板上都能跑开

swizzer

西行寺幽幽子. 发表于 2020-7-30 17:01
jar那个样本你换诺顿也一样不报

Recon木马，诺顿IPS就能拦住。
还有个往StartUp目录写入一堆plugin.jar的，微点也是哑火。

别把微点拿来和世界一流杀软比。不对等。

西行寺幽幽子.

swizzer 发表于 2020-7-30 17:06
Recon木马，诺顿IPS就能拦住。
还有个往StartUp目录写入一堆plugin.jar的，微点也是哑火。

诺顿的主防不算一流的，别吹太过了，卡饭样本正式测试前几天有人就测试了诺顿主防，有很多过诺顿主防，然后入侵防护一直报警的，还世界一流，笑死我了

西行寺幽幽子.

swizzer 发表于 2020-7-30 17:06
Recon木马，诺顿IPS就能拦住。
还有个往StartUp目录写入一堆plugin.jar的，微点也是哑火。

你要说卡巴是世界一流的我还信