[病毒样本] 6x

显示全部楼层 · 发表于 2022-1-25 14:48:17

门徒LHZ 发表于 2022-1-25 14:38
这种KillDisk 杀软的主动防御都能拦

不加驱一般没问题

显示全部楼层 · 发表于 2022-1-25 14:55:06

火绒的粉丝发表于 2022-1-25 14:31
等一会上报给火绒官方

已上报

显示全部楼层 · 发表于 2022-1-25 15:07:44

McAfee miss all

显示全部楼层 · 发表于 2022-1-25 15:30:06

本帖最后由 swizzer 于 2022-1-25 16:06 编辑

锁库智量（2022/1/24）
扫描1x
双击miss 4.exe，其余的均击杀

看来这个模型训练的还不够完美啊

https://pan.huang1111.cn/s/NkQ6U1
链接里是录屏文件，可以看出在不添加自定义规则的情况下，主防对于4.exe的底层磁盘操作没有提示

@智量官方

~~23号说的已经更新可以拦截，用的是24号的病毒库，应该算准确结果吧~~

显示全部楼层 · 发表于 2022-1-25 15:31:31

swizzer 发表于 2022-1-25 15:30
锁库智量（2022/1/24）
扫描1x
双击miss 4.exe，其余的均击杀

BB也miss了4.exe，正准备管理员权限运行5.exe

显示全部楼层 · 发表于 2022-1-25 15:34:19

NICO-COOPER 发表于 2022-1-25 15:31
BB也miss了4.exe，正准备管理员权限运行5.exe

主要是，智量官方前几天信誓旦旦地说训练了新的主防模型，可以防护这类写磁盘的病毒了

但是看起来效果不是太好···虽然1.exe在默认设置下hips弹窗+主防报警，但是4.exe还是得靠自定义规则才能拦截到那个底层磁盘写操作

显示全部楼层 · 发表于 2022-1-25 15:41:57

本帖最后由 NICO-COOPER 于 2022-1-25 15:49 编辑

swizzer 发表于 2022-1-25 15:34
主要是，智量官方前几天信誓旦旦地说训练了新的主防模型，可以防护这类写磁盘的病毒了

但是看起 ...

也许是病毒又玩出了新花样，比起上次翻车的时候，BB已经有所改善，123都kill了，只miss了4.exe，5.exe好像有问题，运行后没反应。希望是我上次发给官方的邮件起了作用，这次再发一个

好吧，说早了，重启后虚拟机挂了，看来4.exe和5.exe都miss了，溜去上报了

我记得离上次样本区主防大翻车没多久，智量这么快就搞定主防了？

显示全部楼层 · 发表于 2022-1-25 15:50:06

NICO-COOPER 发表于 2022-1-25 15:41
也许是病毒又玩出了新花样，比起上次翻车的时候，BB已经有所改善，123都kill了，只miss了4.exe，5.exe好 ...

我找到1和4的区别所在了

还是IOCTL_DISK_DELETE_DRIVE_LAYOUT的问题

显示全部楼层 · 发表于 2022-1-25 15:51:33

本帖最后由 ANY.LNK 于 2022-1-25 15:53 编辑

MS Defender：目前解压过一段时间报告5.exe，手动查看文件又击杀了1.exe和5.exe，延迟了又一段时间后报告2.exe 3.exe是威胁，随后4.exe触发自动上报

显示全部楼层 · 发表于 2022-1-25 15:54:43

本帖最后由 NICO-COOPER 于 2022-1-25 15:56 编辑

swizzer 发表于 2022-1-25 15:50
我找到1和4的区别所在了还是IOCTL_DISK_DELETE_DRIVE_LAYOUT的问题

我记得上次智量官方不就说暂时只能通过自定义拦截吗？这段代码还跟上次的一样，那我得跟emsisoft发封邮件说道说道

昨天在他们官网的招聘专栏溜达了一圈，总部的人好少，貌似加起来才不到50人。