查看: 6377|回复: 35
收起左侧

[讨论] Bullguard 2021 正式弃用BD引擎转为Avira引擎

[复制链接]
Jerry.Lin
发表于 2020-10-11 00:36:28 | 显示全部楼层 |阅读模式
本帖最后由 Jerry.Lin 于 2020-10-10 10:55 编辑

继F-Secure后, 又一OEM BD引擎的厂商投靠Avira.

https://www.bullguard.com/blog/2 ... ion-for-all-seasons
https://www.bullguard.com/about/release-notes.aspx



目测包含Avira所有杀毒模块(包含remediation module), 有APC云查, 尚不清楚是否开启APC未知文件自动上传.

Sentry 得到进一步优化, 从文件名看与之前版本略有区别, 按照BLOG里写可能新增了些ML检测.



================更新========================

1. 通过改旧毒Hash测试, 确认不包括APC未知文件自动上传.

2. Sentry 出现与Avira引擎扫描联动报法(貌似以前和BD就有这种?不大清楚)
  1. 可疑文件: Kafan_Sample_d7f3cc72163e809b398c83abb04b237d3f900fee8886e862995a2e5995c3d627.exe

  2. 路径: C:\Users\test\Desktop\26x (2020-09-30)\26x (2020-09-30)\Kafan_Sample_d7f3cc72163e809b398c83abb04b237d3f900fee8886e862995a2e5995c3d627.exe

  3. 详细信息
  4. •    Drop.Win32.SPC.TR/Kryptik.14758a.200

  5. 修改的文件
  6. •    C:\Users\test\Desktop\26x (2020-09-30)\26x (2020-09-30)\Kafan_Sample_d7f3cc72163e809b398c83abb04b237d3f900fee8886e862995a2e5995c3d627.exe

  7. 进程
  8. •    [5236] C:\Users\test\Desktop\26x (2020-09-30)\26x (2020-09-30)\Kafan_Sample_d7f3cc72163e809b398c83abb04b237d3f900fee8886e862995a2e5995c3d627.exe

  9. 2020/10/10 11:52:42
复制代码
  1. 可疑文件: Kafan_Sample_d44d718c247b1664861f987b1725314f152e43e7c1da80b163f812e1b7c3fdb7.exe

  2. 路径: C:\Users\test\Desktop\26x (2020-09-30)\26x (2020-09-30)\Kafan_Sample_d44d718c247b1664861f987b1725314f152e43e7c1da80b163f812e1b7c3fdb7.exe

  3. 详细信息
  4. •    Drop.Win64.SPC.PUA/CobaltStrike.100

  5. 修改的文件
  6. •    C:\Users\test\Desktop\26x (2020-09-30)\26x (2020-09-30)\Kafan_Sample_d44d718c247b1664861f987b1725314f152e43e7c1da80b163f812e1b7c3fdb7.exe

  7. 进程
  8. •    [4808] C:\Users\test\Desktop\26x (2020-09-30)\26x (2020-09-30)\Kafan_Sample_d44d718c247b1664861f987b1725314f152e43e7c1da80b163f812e1b7c3fdb7.exe

  9. 2020/10/10 11:52:43
复制代码


3. 目前出现的机学打分行为报法(Sentry)
  1. 可疑文件: Kafan_Sample_d1ec73cf8bd5ba61fca5df78eee2d73e2e7da44a6346eebf89a072bf3e79b3fd.exe

  2. 路径: C:\Users\test\Desktop\26x (2020-09-30)\26x (2020-09-30)\Kafan_Sample_d1ec73cf8bd5ba61fca5df78eee2d73e2e7da44a6346eebf89a072bf3e79b3fd.exe

  3. 详细信息
  4. •    Drop.Win32.ML.1341

  5. 修改的文件
  6. •    C:\Users\test\AppData\Local\Temp\IXP000.TMP\ru..................................jse
  7. •    C:\Users\test\AppData\Local\Temp\IXP000.TMP\files.zip
  8. •    C:\Users\test\AppData\Local\Temp\IXP000.TMP\TMP4351$.TMP
  9. •    C:\Users\test\Desktop\26x (2020-09-30)\26x (2020-09-30)\Kafan_Sample_d1ec73cf8bd5ba61fca5df78eee2d73e2e7da44a6346eebf89a072bf3e79b3fd.exe

  10. 修改的注册表
  11. •    HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jse\OpenWithProgids : JSEFile (value = )

  12. 进程
  13. •    [7032] C:\Users\test\Desktop\26x (2020-09-30)\26x (2020-09-30)\Kafan_Sample_d1ec73cf8bd5ba61fca5df78eee2d73e2e7da44a6346eebf89a072bf3e79b3fd.exe

  14. 2020/10/10 11:53:20
复制代码
  1. 可疑文件: Kafan_Sample_430032941fdecfc49abdef2ede2ffe04c66b99df498a2739005c726cea9ea183.exe

  2. 路径: C:\Users\test\Desktop\26x (2020-09-30)\26x (2020-09-30)\Kafan_Sample_430032941fdecfc49abdef2ede2ffe04c66b99df498a2739005c726cea9ea183.exe

  3. 详细信息
  4. •    Drop.Win32.ScoreExeDrop.860

  5. 修改的文件
  6. •    C:\Users\test\AppData\Local\Temp\7ZipSfx.000\j
  7. •    C:\Users\test\AppData\Local\Temp\7ZipSfx.000\Ldxbe.com
  8. •    C:\Users\test\AppData\Local\Temp\7ZipSfx.000\HkNSeyKTdmtVJbZBKLt.com
  9. •    C:\Users\test\AppData\Local\Temp\7ZipSfx.000\FRmjYRyYRGRg.com

  10. 进程
  11. •    [4344] C:\Users\test\Desktop\26x (2020-09-30)\26x (2020-09-30)\Kafan_Sample_430032941fdecfc49abdef2ede2ffe04c66b99df498a2739005c726cea9ea183.exe
  12. •    [3784] C:\Windows\SysWOW64\certutil.exe

  13. 2020/10/10 11:50:50
复制代码


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ytysh
发表于 2020-10-11 00:45:51 | 显示全部楼层
APC在国内连接稳定吗?升级稳定吗?
欧阳宣
头像被屏蔽
发表于 2020-10-11 00:57:06 | 显示全部楼层
本帖最后由 欧阳宣 于 2020-10-11 01:03 编辑

倒数第一条那个看着好像是老sentry报法

不过还是至少有实打实的变化的
APC组件里负责自动上传的是个叫local decider的 有证据说只要改了哈希就会再上传一次吗 以前我用红伞时 本地一个文件在多次被扫描的情况下多次被上传的例子是很多的
Jerry.Lin
 楼主| 发表于 2020-10-11 01:28:20 | 显示全部楼层
欧阳宣 发表于 2020-10-10 10:57
倒数第一条那个看着好像是老sentry报法

不过还是至少有实打实的变化的

应该是的, 以前改过挺多次的,凡是改完后并且过本地扫描引擎的, 双击(执行时) 大多数都会触发APC上传, 是有碰到一些EXE可能被本地decider判定不需要上传, 不过很少出现. Avira原版我没观察到一个已经在云端有hash的文件再次触发上传的情况, 不过F-secure倒是有, 还把这套做在了读写监控, 导致卡顿.

很奇怪,测到目前为止Bullguard还没看到云报法, 等新毒包出来试试看.
Kenvix007
发表于 2020-10-11 02:25:45 | 显示全部楼层
Jerry.Lin 发表于 2020-10-11 01:28
应该是的, 以前改过挺多次的,凡是改完后并且过本地扫描引擎的, 双击(执行时) 大多数都会触发APC上传, 是 ...

希望能对新引擎的BullGuard做一个比较全面的测试 让我们了解一下这款产品的优劣.
谢谢!
ytysh
发表于 2020-10-11 03:57:18 | 显示全部楼层
Jerry.Lin 发表于 2020-10-11 01:28
应该是的, 以前改过挺多次的,凡是改完后并且过本地扫描引擎的, 双击(执行时) 大多数都会触发APC上传, 是 ...

可能是Bullguard官方觉得上传文件存在隐私的问题,直接去掉了上传的功能。毕竟相比红伞和FS的用户群体数量,Bullguard用户群体基数能提供的样本确实有限。
蝙蝠BATGOD
发表于 2020-10-11 06:58:07 | 显示全部楼层
感谢分享 不过为什么大家都转向红伞呢?值得深思
henry217
发表于 2020-10-11 07:28:27 | 显示全部楼层
半夜一点BullGuard查杀率一直还可以,换引擎也是向f-s靠齐
---
ytysh
发表于 2020-10-11 07:45:25 | 显示全部楼层
蝙蝠BATGOD 发表于 2020-10-11 06:58
感谢分享 不过为什么大家都转向红伞呢?值得深思

估计是查杀率接近BD,但是支持云查杀而且授权价格有优势。
chunyet
发表于 2020-10-11 09:14:03 来自手机 | 显示全部楼层
蝙蝠BATGOD 发表于 2020-10-11 06:58
感谢分享 不过为什么大家都转向红伞呢?值得深思

便宜呗,现在杀软公司都不太好过,成本对于他们很重要
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 08:15 , Processed in 0.118933 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表