ESM365 貌似不查杀宏病毒?

BFAX

样本区昨天两个、今天两个宏病毒，ESM365都没有反应
https://bbs.kafan.cn/forum.php?m ... 208155&pid=48687937
https://bbs.kafan.cn/forum.php?m ... 208154&pid=48687928
https://bbs.kafan.cn/forum.php?m ... 208181&pid=48692031
https://bbs.kafan.cn/forum.php?m ... 208182&pid=48692006
今天更新了病毒库后又扫了下昨天的样本，依旧没反应
ESM可是面向企业终端电脑的

Jerry.Lin

瑞星监控扫描一直问题多多，以前碰到的问题包括云查时不时断开，监控默认解大安装包，执行没有云扫描，卡任务管理器等等……

劝你还是放弃吧

BFAX

Jerry.Lin 发表于 2021-5-5 17:33
瑞星监控扫描一直问题多多，以前碰到的问题包括云查时不时断开，监控默认解大安装包，执行没有云扫描，卡任 ...

我这几天也发现ESM365不少问题
昨天刚发现的是扫描出来的威胁多了，处理期间会直接崩掉，一次只能处理一个，然后界面会卡退掉，只能重扫再处理
我原本以为只是UI的问题，昨到今天逛样本区，就发现不对了

XywCloud

这个是Excel 4.0的宏，算是一个比较老的东西（而且微软正打算抛弃它），和咱们常见的宏不一样（不管是解析方式还是说格式之类的）。
1.相关的解析能力大概在1个月前已经上了
2.检测特征的话还在路上（当然在不具备解析能力之前，也有一些其他的方式可以检出一部分此类样本），当然其实这类样本我们更倾向机学解决（这个也在计划中）
3.粗暴一点，文档类样本开云查（现在只有PE文件走云查），这个我节后去问问

Jerry.Lin

XywCloud 发表于 2021-5-5 03:40
这个是Excel 4.0的宏，算是一个比较老的东西（而且微软正打算抛弃它），和咱们常见的宏不一样（不管是解析 ...

监控默认解大安装包的问题有没有用户反馈过？还有执行没有云查？

拿10个30MB左右的安装包写入，瑞星进程CPU占用率会飙到99%很久

BFAX

XywCloud 发表于 2021-5-5 17:40
这个是Excel 4.0的宏，算是一个比较老的东西（而且微软正打算抛弃它），和咱们常见的宏不一样（不管是解析 ...

社区扫描器md5杀的，ESM365在最新病毒库和云端正常连接的情况下都能漏掉，我觉得这就过分了

XywCloud

Jerry.Lin 发表于 2021-5-5 17:43
监控默认解大安装包的问题有没有用户反馈过？还有执行没有云查？

拿10个30MB左右的安装包写入，瑞星进 ...

这个问题我这边已经把ESM的PM和我们这边的老大拉过来一起讨论了。我知道你们想问这个问题，而且我之前也发现了奇怪的现象

XywCloud

BFAX 发表于 2021-5-5 17:44
社区扫描器md5杀的，ESM365在最新病毒库和云端正常连接的情况下都能漏掉，我觉得这就过分了

ESM只对PE文件走云查，社区扫描器是啥都走云查
这俩区别还挺大的（而且随着时间的推移差距会越来越大，各方面都是，但是不见得每个方面都是社区扫描器强就是了）

Jerry.Lin

XywCloud 发表于 2021-5-5 03:51
这个问题我这边已经把ESM的PM和我们这边的老大拉过来一起讨论了。我知道你们想问这个问题，而且我之前也 ...

好，我先提供下具体复现方法

EXE大文件默认解包
1. 监控模式-标准
2. 写入多个安装包，观察瑞星相关进程CPU及内存占用。

云不参与执行监控
1. 监控模式-标准
2. 关闭监控，拷贝入云杀样本（本地无特征）
3. 开启监控，运行样本

还有个问题不大确定
每次更新完后，瑞星相关进程会保持20%-30%CPU占用无硬盘读取写入，持续2-3分钟，在此期间监控是失效的，即已入库样本不报。

BFAX

XywCloud 发表于 2021-5-5 17:52
ESM只对PE文件走云查，社区扫描器是啥都走云查
这俩区别还挺大的（而且随着时间的推移差距会越来越大， ...

不会是因为瑞星的服务器抗不住吧