有谁研究过ESET的“_AGen”报法吗。。。。

显示全部楼层 · 发表于 2022-5-7 13:31:35

本帖最后由 anthonyqian 于 2022-5-10 23:06 编辑

最近几个月发现了 ESET 有一种之前没见过的报法，就是在已知威胁家族后面加上“_AGen”，例如 Win64/Injector_AGen.I、MSIL/Kryptik_AGen.OB 以及今天遇到的 MSIL/TrojanDownloader.Agent_AGen.QT。找了一圈发现好像没有相关的说法，有知情人士可以说说吗~
还有就是也不知道这个“_AGen”报法是怎么下发的，今天 10 点多的时候遇到了一个 Formbook 样本（https://www.virustotal.com/gui/f ... af13b812cbc77c15cf2），当时 ESET 扫描和 LiveGuard 都不检测（ELG 说样本安全。。。），于是就邮件上报了。过了十多分钟，查看信誉的时候就发现已经拉黑了，此时扫描报 Suspicious Object，标准的云拉黑报法。过了一小时左右，又扫描了一遍，发现报法从 Suspicious Object 变成了 MSIL/TrojanDownloader.Agent_AGen.QT 的变种。然而在此期间病毒库并未更新，上一次模块更新还是早上八点。

这就奇怪了，我之前以为ESET在病毒库更新下发之前，对已拉黑但没有入库的样本都报 Suspicious Object，如今却有了更加详细的报法。

过了两个小时左右，收到了病毒分析团队的邮件：

Thank you for your submission.
The detection for this threat will be included in the next update of detection engine, expected version: 25229.

明确提到会在 25229 版本中添加检测，但我用旧的毒库（25228）也可以检测到。。。

————————

做了一个小实验，简单改了一下样本的 hash，发现过不了“MSIL/TrojanDownloader.Agent_AGen.QT 的变种”这个报法。

————————

破案了，上面的情况应该是ESET的流式（pico）更新导致的。ESET的流式更新每十分钟一次。

显示全部楼层 · 发表于 2022-5-7 15:35:41

最近几个月发现了 ESET 有一种之前没见过的报法，就是在已知威胁家族后面加上“_AGen”

我不敢保证是不是这样，只是我个人觉得而已。。。

https://help.eset.com/glossary/e ... dna_detections.html

明确提到会在 25229 版本中添加检测，但我用旧的毒库（25228）也可以检测到。。。

同一个报法能检测多个样本，如果报法已用在别的样本上（不是新增的），当前的病毒库即可杀。

如果本地病毒库已更新到expected version，样本还没杀的话，可以进行投诉。

做了一个小实验，简单改了一下样本的 hash，发现过不了“MSIL/TrojanDownloader.Agent_AGen.QT 的变种”这个报法。

改hash对ESET没用吧。。。PE Header

https://bbs.kafan.cn/forum.php?m ... amp;fromuid=1046314

显示全部楼层 · 发表于 2022-5-7 16:33:21

本帖最后由 anthonyqian 于 2022-5-7 16:34 编辑

Eset小粉絲发表于 2022-5-7 15:35
我不敢保证是不是这样，只是我个人觉得而已。。。

https://help.eset.com/glossary/en-US/technolog ...

这个流程图AGen的位置很尴尬啊~ 我觉得应该是在信誉拉黑之后的吧

同一个报法能检测多个样本，如果报法已用在别的样本上（不是新增的），当前的病毒库即可杀。

这个是什么原理呢，这就是说MSIL/TrojanDownloader.Agent_AGen.QT是已经现有的报法了？即便如此，应该也是接收到了云端的更新才会这也做的吧，不然为啥用同样的病毒库，今天10点那会不检测呢

改hash对ESET没用吧。。。

我只是想验证一下AGen是不是纯云拉黑，毕竟Suspicious obj这个报法是可以改哈希过的~

显示全部楼层 · 发表于 2022-5-7 16:39:14

anthonyqian 发表于 2022-5-7 16:33
这个流程图AGen的位置很尴尬啊~ 我觉得应该是在信誉拉黑之后的吧

不然为啥用同样的病毒库，今天10点那会不检测呢

Slovakia 时间差

显示全部楼层 · 发表于 2022-5-7 17:41:26

Eset小粉絲发表于 2022-5-7 16:39
Slovakia 时间差

借楼问一下大大签名里的eset安卓版是和谐版么？

显示全部楼层 · 发表于 2022-5-7 18:09:26

Cel3mt 发表于 2022-5-7 17:41
借楼问一下大大签名里的eset安卓版是和谐版么？

不是。

显示全部楼层 · 发表于 2022-5-10 16:24:06

ESET 不更新毒库却能补杀的情况又出现了。。。难道ESET也有“流式更新”吗

@Eset小粉絲

显示全部楼层 · 发表于 2022-5-10 16:41:31

anthonyqian 发表于 2022-5-10 16:24
ESET 不更新毒库却能补杀的情况又出现了。。。难道ESET也有“流式更新”吗 @Eset小粉絲

ESET貌似有“流式更新”（可能是Rapid Response Module），脚本通常不必更新病毒库也可以杀。

显示全部楼层 · 发表于 2022-5-10 16:47:52

Eset小粉絲发表于 2022-5-10 16:41
ESET貌似有“流式更新”（可能是Rapid Response Module），脚本通常不必更新病毒库也可以杀。

就是快速响应模块吗？Marcos说这个是用来抵抗网络威胁的

https://forum.eset.com/topic/140 ... nt&comment=7754

而且这个模块更新的话，更新界面的“上一次更新”时间也会变的

显示全部楼层 · 发表于 2022-5-10 16:55:54

就是快速响应模块吗？Marcos说这个是用来抵抗网络威胁的

脚本能挂在网页中，也许称得上dangerous websites？

[求助] 有谁研究过ESET的“_AGen”报法吗。。。。

本帖子中包含更多资源

本帖子中包含更多资源

评分

评分

本帖子中包含更多资源