查看: 1753|回复: 16
收起左侧

[微点] 这些样本是有恶意动作的,微点为什么不杀?

[复制链接]
黑暗在翻腾
头像被屏蔽
发表于 2020-8-14 17:52:37 | 显示全部楼层 |阅读模式
https://www.lanzoux.com/i7NVpfm2gaf  @微点佰慧   请客服关了监控仔细测试一下,现在的微点这么保守的吗?为了降低误报,这些有明显恶意动作的都不杀了?
微点佰慧
发表于 2020-8-14 18:18:04 | 显示全部楼层
感谢反馈,这些样本,我们会分析测试下
epattack
发表于 2020-8-14 18:32:39 | 显示全部楼层
我测试的情况是,那几个PE可执行文件,除了一个损坏,其他的主防都拦截,doc的没测
黑暗在翻腾
头像被屏蔽
 楼主| 发表于 2020-8-14 19:37:11 | 显示全部楼层
epattack 发表于 2020-8-14 18:32
我测试的情况是,那几个PE可执行文件,除了一个损坏,其他的主防都拦截,doc的没测

有人说在测试中,拦截开机启动就没动作了,你能上个截图?
你开心就好
发表于 2020-8-16 10:12:31 来自手机 | 显示全部楼层
黑暗在翻腾 发表于 2020-8-14 19:37
有人说在测试中,拦截开机启动就没动作了,你能上个截图?

有人?合着你也没有亲自测试
swizzer
发表于 2020-8-16 22:39:23 | 显示全部楼层
本帖最后由 swizzer 于 2020-8-16 22:46 编辑

Hello,
PE样本这里面那几个MFC图标的是#Emotet,微点正常情况下绝对会杀的。我这里就杀了。

剩下几个dll在我这里只是连接C&C,未见实质恶意行为。

另有一个#AgentTesla,这个是微点的软肋,此版本自然不会杀。



日志:
  1. 时间        类型        处理结果        病毒名称        病毒路径        创建者        描述
  2. 2020-08-15 16:38:17        木马        处理成功        未知木马        C:\WINDOWS\SYSWOW64\VDSBAS\P2PNETSH.EXE        D:\$AA\41X (2020-08-14)\41X (2020-08-14)\KAFAN_SAMPLE_85CC45E6519299681A325A936C56A017A6A5488B2EEED7977F5601F919F33AC8.EXE        未发现任何修改动作
  3. 2020-08-15 16:38:17        木马        处理成功        未知木马        D:\$AA\41X (2020-08-14)\41X (2020-08-14)\KAFAN_SAMPLE_85CC45E6519299681A325A936C56A017A6A5488B2EEED7977F5601F919F33AC8.EXE        C:\PROGRAM FILES\WINRAR\WINRAR.EXE        生成(1)个文件
  4. 2020-08-15 16:38:12        木马        处理成功        未知木马        C:\WINDOWS\SYSWOW64\MTXLEGIH\WSCISVIF.EXE        D:\$AA\41X (2020-08-14)\41X (2020-08-14)\KAFAN_SAMPLE_18FF84AF25BB31C478741616288C35C91C87A21FE757B1FA60E1A5B6F30F6DF1.EXE        未发现任何修改动作
  5. 2020-08-15 16:38:12        木马        处理成功        未知木马        D:\$AA\41X (2020-08-14)\41X (2020-08-14)\KAFAN_SAMPLE_18FF84AF25BB31C478741616288C35C91C87A21FE757B1FA60E1A5B6F30F6DF1.EXE        C:\PROGRAM FILES\WINRAR\WINRAR.EXE        生成(1)个文件
  6. 2020-08-15 16:38:08        木马        处理成功        未知木马        C:\WINDOWS\SYSWOW64\DVDPLAY\ES.EXE        D:\$AA\41X (2020-08-14)\41X (2020-08-14)\KAFAN_SAMPLE_9A746F9053F3C8FE10D9D73139C8DFEFB62990169093FCE210058D15DEAA086B.EXE        未发现任何修改动作
  7. 2020-08-15 16:38:08        木马        处理成功        未知木马        D:\$AA\41X (2020-08-14)\41X (2020-08-14)\KAFAN_SAMPLE_9A746F9053F3C8FE10D9D73139C8DFEFB62990169093FCE210058D15DEAA086B.EXE        C:\PROGRAM FILES\WINRAR\WINRAR.EXE        生成(1)个文件
  8. 2020-08-15 16:32:04        木马        处理成功        未知木马        D:\$AA\41X (2020-08-14)\41X (2020-08-14)\KAFAN_SAMPLE_2592C39FFBE369B2A6D1CF29E90BC0D0459AC881AE5FC2425EE61AA04FF2E97A.EXE        C:\PROGRAM FILES\WINRAR\WINRAR.EXE        注册表中修改(1)项
  9. 2020-08-15 16:30:08        木马        处理成功        未知木马        C:\WINDOWS\SYSWOW64\AUTOCONV\IISRESET.EXE        D:\$AA\41X (2020-08-14)\41X (2020-08-14)\KAFAN_SAMPLE_4B501D640D380C604F5991BC7B4C7B9661C9F2DC82E0E673374C3F19EF01712B.EXE        未发现任何修改动作
  10. 2020-08-15 16:30:08        木马        处理成功        未知木马        D:\$AA\41X (2020-08-14)\41X (2020-08-14)\KAFAN_SAMPLE_4B501D640D380C604F5991BC7B4C7B9661C9F2DC82E0E673374C3F19EF01712B.EXE        C:\PROGRAM FILES\WINRAR\WINRAR.EXE        生成(1)个文件
复制代码




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +2 收起 理由
YorkWaugh + 2 这hello风怎么这么眼熟

查看全部评分

黑暗在翻腾
头像被屏蔽
 楼主| 发表于 2020-8-16 23:20:44 | 显示全部楼层
swizzer 发表于 2020-8-16 22:39
Hello,
PE样本这里面那几个MFC图标的是#Emotet,微点正常情况下绝对会杀的。我这里就杀了。

加个Q交流一下,我私密你
黑暗在翻腾
头像被屏蔽
 楼主| 发表于 2020-8-16 23:45:26 | 显示全部楼层
swizzer 发表于 2020-8-16 22:39
Hello,
PE样本这里面那几个MFC图标的是#Emotet,微点正常情况下绝对会杀的。我这里就杀了。

杀了9个,还可以啊,那哥们好像没你杀得多是怎么回事
swizzer
发表于 2020-8-22 09:03:38 | 显示全部楼层
黑暗在翻腾 发表于 2020-8-16 23:45
杀了9个,还可以啊,那哥们好像没你杀得多是怎么回事

#Emotet在32位系统下跑不起来。

话说回来,这几期样本包里微点基本也就只能杀#Emotet了。。。
旋极
发表于 2020-8-22 10:42:43 | 显示全部楼层
swizzer 发表于 2020-8-22 09:03
#Emotet在32位系统下跑不起来。

话说回来,这几期样本包里微点基本也就只能杀#Emotet了。。。

我没猜错的话,是不是这位微点粉老是黑智量刺激到你了,所以你来特意评论来反击
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 23:26 , Processed in 0.132910 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表