#IcedID(2022-02-16)

显示全部楼层 · 发表于 2022-2-16 23:15:02

swizzer 发表于 2022-2-16 23:14
其实想了解ESET真的推荐把B大的文章读一读

https://bbs.kafan.cn/thread-2126628-1-1.html

好嘞。。

不过我好像得滚去学习了。。。

显示全部楼层 · 发表于 2022-2-16 23:19:07

本帖最后由 aboringman 于 2022-2-16 23:25 编辑

swizzer 发表于 2022-2-16 22:39
娱乐组-RAV
~~说这货是FakeAV吧，它还有那么两下子~~
双击只杀一个hta

我开到主动送他们回家了

不对，我重置了镜像，再试了一次，发现SONAR都是直接干掉的。。。。。。

文件名: acede4e871ff7ebeda48cd568f8761e7129ed6f596cccbbdce7634e58ecbd7e8.dll
威胁名称: SONAR.Module!gen3完整路径: 不可用
____________________________
____________________________
在电脑上
2022/2/16 ( 23:15:28 )
上次使用时间
2022/2/16 ( 23:15:28 )
启动项
否
已启动
是
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
acede4e871ff7ebeda48cd568f8761e7129ed6f596cccbbdce7634e58ecbd7e8.dll 威胁名称: SONAR.Module!gen3
定位
极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。
极新的文件
该文件已在不到 1 周前发行。
高
此文件具有高风险。
____________________________
来源: 外部介质
源文件:
WinRAR.exe
创建的文件:
acede4e871ff7ebeda48cd568f8761e7129ed6f596cccbbdce7634e58ecbd7e8.dll
____________________________
文件操作
文件: c:\Users\123\Desktop\ acede4e871ff7ebeda48cd568f8761e7129ed6f596cccbbdce7634e58ecbd7e8.dll 威胁已删除
____________________________
系统设置操作
事件: 进程启动: c:\Windows\System32\ rundll32.exe, PID:372 (执行者 c:\users\123\desktop\acede4e871ff7ebeda48cd568f8761e7129ed6f596cccbbdce7634e58ecbd7e8.dll, PID:372) 未采取操作
____________________________
文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

复制代码

文件名: 3ac9a7f1c1ce0eba4ba2092d53d5a3c424852a906a9f1054e5471751499cd48f.dll
威胁名称: SONAR.Module!gen3完整路径: 不可用
____________________________
____________________________
在电脑上
2022/2/16 ( 23:15:28 )
上次使用时间
2022/2/16 ( 23:15:28 )
启动项
否
已启动
是
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
3ac9a7f1c1ce0eba4ba2092d53d5a3c424852a906a9f1054e5471751499cd48f.dll 威胁名称: SONAR.Module!gen3
定位
极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。
极新的文件
该文件已在不到 1 周前发行。
高
此文件具有高风险。
____________________________
来源: 外部介质
源文件:
WinRAR.exe
创建的文件:
3ac9a7f1c1ce0eba4ba2092d53d5a3c424852a906a9f1054e5471751499cd48f.dll
____________________________
文件操作
文件: c:\Users\123\Desktop\ 3ac9a7f1c1ce0eba4ba2092d53d5a3c424852a906a9f1054e5471751499cd48f.dll 威胁已删除
____________________________
系统设置操作
事件: 进程启动: c:\Windows\System32\ rundll32.exe, PID:8452 (执行者 c:\users\123\desktop\3ac9a7f1c1ce0eba4ba2092d53d5a3c424852a906a9f1054e5471751499cd48f.dll, PID:8452) 未采取操作
____________________________
文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

复制代码

显示全部楼层 · 发表于 2022-2-16 23:19:52

ICzcz 发表于 2022-2-16 23:11
谢谢啦

~~不过我现在半个人气都没有。。。。~~

Augur这东西属于
被他干掉的肯定十恶不赦，但是7分坏蛋他就未必理了
现在和ELG联动还好一点，可疑就送上去了
但是ESET捏着ELG不说完全下放，给个阉割版到EIS他也不干（他们论坛里面有人提）

显示全部楼层 · 发表于 2022-2-16 23:24:56

eset 清空

显示全部楼层 · 发表于 2022-2-16 23:25:34

Miostartos 发表于 2022-2-16 23:19
Augur这东西属于
被他干掉的肯定十恶不赦，但是7分坏蛋他就未必理了
现在和ELG联动还好一点，可疑就送 ...

其实ELG没有用户想象的那么好。。。

第 1 层：高级解压缩和扫描
第 2 层：高级机器学习检测
第 3 层：实验性检测引擎
第 4 层：深入行为分析

几乎全部杀毒全靠第一层

第二层第三层就是个摆设。。从来没有见EDTD的报告杀过。。

第四层也很玄学。。通常都不进行这一环节。。。

显示全部楼层 · 发表于 2022-2-16 23:26:03

Solomondemeter 发表于 2022-2-16 23:24
eset 清空

@swizzer

云库联动了

显示全部楼层 · 发表于 2022-2-16 23:27:06

ICzcz 发表于 2022-2-16 23:25
其实ELG没有用户想象的那么好。。。

好不好是一回事，主要是这个策略很奇怪
下放一个明显有助于ESET收集样本和改进ELG
他就不

显示全部楼层 · 发表于 2022-2-16 23:27:43

Miostartos 发表于 2022-2-16 23:27
好不好是一回事，主要是这个策略很奇怪
下放一个明显有助于ESET收集样本和改进ELG
他就不

应该是怕自己的云直接被庞大的用户压垮了。。

显示全部楼层 · 发表于 2022-2-16 23:29:12

ICzcz 发表于 2022-2-16 23:27
应该是怕自己的云直接被庞大的用户压垮了。。

那可太扯淡了
隔壁伞的APC可是正儿八经的多重分析云沙箱，也没见炸过

显示全部楼层 · 发表于 2022-2-16 23:30:24

Miostartos 发表于 2022-2-16 23:29
那可太扯淡了
隔壁伞的APC可是正儿八经的多重分析云沙箱，也没见炸过

原因是ESET逊啊

[病毒样本] #IcedID(2022-02-16)