查看: 2647|回复: 10
收起左侧

[求助] 有谁研究过ESET的“_AGen”报法吗。。。。

[复制链接]
anthonyqian
发表于 2022-5-7 13:31:35 | 显示全部楼层 |阅读模式
本帖最后由 anthonyqian 于 2022-5-10 23:06 编辑

最近几个月发现了 ESET 有一种之前没见过的报法,就是在已知威胁家族后面加上“_AGen”,例如 Win64/Injector_AGen.I、MSIL/Kryptik_AGen.OB 以及今天遇到的 MSIL/TrojanDownloader.Agent_AGen.QT。找了一圈发现好像没有相关的说法,有知情人士可以说说吗~
还有就是也不知道这个“_AGen”报法是怎么下发的,今天 10 点多的时候遇到了一个 Formbook 样本(https://www.virustotal.com/gui/f ... af13b812cbc77c15cf2),当时 ESET 扫描和 LiveGuard 都不检测(ELG 说样本安全。。。),于是就邮件上报了。过了十多分钟,查看信誉的时候就发现已经拉黑了,此时扫描报 Suspicious Object,标准的云拉黑报法。过了一小时左右,又扫描了一遍,发现报法从 Suspicious Object 变成了 MSIL/TrojanDownloader.Agent_AGen.QT 的变种。然而在此期间病毒库并未更新,上一次模块更新还是早上八点。



这就奇怪了,我之前以为ESET在病毒库更新下发之前,对已拉黑但没有入库的样本都报  Suspicious Object,如今却有了更加详细的报法。

过了两个小时左右,收到了病毒分析团队的邮件:

Thank you for your submission.
The detection for this threat will be included in the next update of detection engine, expected version: 25229.

明确提到会在 25229 版本中添加检测,但我用旧的毒库(25228)也可以检测到。。。

————————

做了一个小实验,简单改了一下样本的 hash,发现过不了“MSIL/TrojanDownloader.Agent_AGen.QT 的变种”这个报法。

————————

破案了,上面的情况应该是ESET的流式(pico)更新导致的。ESET的流式更新每十分钟一次。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Eset小粉絲
发表于 2022-5-7 15:35:41 | 显示全部楼层
最近几个月发现了 ESET 有一种之前没见过的报法,就是在已知威胁家族后面加上“_AGen”


我不敢保证是不是这样,只是我个人觉得而已。。。

https://help.eset.com/glossary/e ... dna_detections.html


明确提到会在 25229 版本中添加检测,但我用旧的毒库(25228)也可以检测到。。。
同一个报法能检测多个样本,如果报法已用在别的样本上(不是新增的),当前的病毒库即可杀。

如果本地病毒库已更新到expected version,样本还没杀的话,可以进行投诉。

做了一个小实验,简单改了一下样本的 hash,发现过不了“MSIL/TrojanDownloader.Agent_AGen.QT 的变种”这个报法。


改hash对ESET没用吧。。。PE Header


https://bbs.kafan.cn/forum.php?m ... amp;fromuid=1046314





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
anthonyqian + 1 有趣~

查看全部评分

anthonyqian
 楼主| 发表于 2022-5-7 16:33:21 | 显示全部楼层
本帖最后由 anthonyqian 于 2022-5-7 16:34 编辑
Eset小粉絲 发表于 2022-5-7 15:35
我不敢保证是不是这样,只是我个人觉得而已。。。

https://help.eset.com/glossary/en-US/technolog ...

这个流程图AGen的位置很尴尬啊~ 我觉得应该是在信誉拉黑之后的吧


同一个报法能检测多个样本,如果报法已用在别的样本上(不是新增的),当前的病毒库即可杀。

这个是什么原理呢,这就是说MSIL/TrojanDownloader.Agent_AGen.QT是已经现有的报法了?即便如此,应该也是接收到了云端的更新才会这也做的吧,不然为啥用同样的病毒库,今天10点那会不检测呢
改hash对ESET没用吧。。。
我只是想验证一下AGen是不是纯云拉黑,毕竟Suspicious obj这个报法是可以改哈希过的~

评分

参与人数 1人气 +1 收起 理由
Eset小粉絲 + 1 也不是不可能

查看全部评分

Eset小粉絲
发表于 2022-5-7 16:39:14 | 显示全部楼层
anthonyqian 发表于 2022-5-7 16:33
这个流程图AGen的位置很尴尬啊~ 我觉得应该是在信誉拉黑之后的吧
不然为啥用同样的病毒库,今天10点那会不检测呢


Slovakia 时间差
Cel3mt
发表于 2022-5-7 17:41:26 | 显示全部楼层

借楼问一下大大签名里的eset安卓版是和谐版么?
Eset小粉絲
发表于 2022-5-7 18:09:26 | 显示全部楼层
Cel3mt 发表于 2022-5-7 17:41
借楼问一下大大签名里的eset安卓版是和谐版么?

不是。
anthonyqian
 楼主| 发表于 2022-5-10 16:24:06 | 显示全部楼层
ESET 不更新毒库却能补杀的情况又出现了。。。难道ESET也有“流式更新”吗  @Eset小粉絲

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Eset小粉絲
发表于 2022-5-10 16:41:31 | 显示全部楼层
anthonyqian 发表于 2022-5-10 16:24
ESET 不更新毒库却能补杀的情况又出现了。。。难道ESET也有“流式更新”吗  @Eset小粉絲

ESET貌似有“流式更新”(可能是Rapid Response Module),脚本通常不必更新病毒库也可以杀。
anthonyqian
 楼主| 发表于 2022-5-10 16:47:52 | 显示全部楼层
Eset小粉絲 发表于 2022-5-10 16:41
ESET貌似有“流式更新”(可能是Rapid Response Module),脚本通常不必更新病毒库也可以杀。

就是快速响应模块吗?Marcos说这个是用来抵抗网络威胁的 https://forum.eset.com/topic/140 ... nt&comment=7754

而且这个模块更新的话,更新界面的“上一次更新”时间也会变的
Eset小粉絲
发表于 2022-5-10 16:55:54 | 显示全部楼层
就是快速响应模块吗?Marcos说这个是用来抵抗网络威胁的


脚本能挂在网页中,也许称得上dangerous websites?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 13:47 , Processed in 0.130345 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表