【开放测试】卡饭病毒样本包 20200810 第104期

草鱼哥

测试环境：Windows 10 家庭中文版 2004
测试产品：火绒 5.0.50.3
病毒库版本：2020-08-10
测试项目：扫描
结果：扫描（8/22）= 总计 （8/22）
截图：

救命稻草

bbs2811125 发表于 2020-8-11 09:38
切入时间不对，不过小红伞的引擎最近确实不在高位了

关键是这位大哥发的毒包经常包含一些红伞不怎么检测的文件类型，如果看上个月前20多天Jirehlov1234发的那些期（73-87），绝大多数是只含PE文件的，那红伞基本都是在前三。不过这也不能成为否定它已经落伍了的理由

沙丁鱼VX

救命稻草 发表于 2020-8-11 10:40
关键是这位大哥发的毒包经常包含一些红伞不怎么检测的文件类型，如果看上个月前20多天Jirehlov1234发的那 ...

能力落伍倒不至于，只不过成了大多数人讨厌的样子

sichuanwenxuan

WD扫描后剩余7个文件。双击这7个文件后剩余1个文件。

智量官方

swizzer 发表于 2020-8-10 21:08
mark下，一小时后测试

智量8月8日的病毒库

经测试，确实有这种情况, 你应该在第一次报毒的时候没有选择隔离病毒样本，所以重启后它又执行了一遍.

这个样本上来首先添加了启动项，主防还没有判断它达到恶意标准。后面达到了恶意标准所以报毒了，残余的注册表项可能需要回滚才能解决了，或者以后我们会加入一些针对高级用户的单步主防模式，给用户选择权。不过残余注册表项除了比较恶心人以外其实没什么危害:)  如果报毒的时候选择删除重启是不会再次执行的。

swizzer

智量官方 发表于 2020-8-11 11:17
经测试，确实有这种情况, 你应该在第一次报毒的时候没有选择隔离病毒样本，所以重启后它又执行了一遍.

...

官人那里是WIBD报法吗？

我这里是内存防护杀的Installutil，随后追溯到本体，识别为MEMRAY:MalThread.A,但此时样本已经复制自身到其他位置+加自启了啊···点了隔离只是杀掉本体，衍生物会在重启后运行并再次注入Installutil，这时内存防护再次侦测到，才会完全解决

solstice1988

bbs2811125 发表于 2020-8-11 09:38
切入时间不对，不过小红伞的引擎最近确实不在高位了

我就比楼上的早了那么一小会儿而已呀

黑暗在翻腾

swizzer 发表于 2020-8-11 11:34
官人那里是WIBD报法吗？

我这里是内存防护杀的Installutil，随后追溯到本体，识别为MEMRAY:Ma ...

之前是我语气不对，向你道歉，微点确实对于某些家族无能为力，希望前辈能原谅我，希望你以后多多测试微点，把过掉的样本发给他们，他们会针对添加规则的

yiyi2000

solstice1988 发表于 2020-8-11 11:48
我就比楼上的早了那么一小会儿而已呀

我前段时间在网络良好的情况下把fss和fsp比较了下，得出的结论是fsp应该不带APC，目前还不知是什么原理，但fss报APC的fsp都不报

bbs2811125

sichuanwenxuan 发表于 2020-8-11 11:09
WD扫描后剩余7个文件。双击这7个文件后剩余1个文件。

总体还是不错，如果扫描能直接杀掉就更完美了