（里程碑）BDTS首次在magniber双击运行后成功封锁

显示全部楼层 · 发表于 2022-6-6 09:45:58

本帖最后由 pal家族于 2022-6-6 11:13 编辑

建议楼主蹲点样本区，搞个长测！
为BD正名！，，

显示全部楼层 · 发表于 2022-6-6 10:10:04

这个本职还是自动机特征，这种特征说实话不稳定，你可能换个变种就拦不住了

感觉BD还是不太重视这类样本
智能主防也不是不能对付，你看智量更新后不就能拦了？
启发强一些也行，卡巴一开始检测不出，现在靠启发和特征基本可以第一时间检测（况且还有UDS）
再不济，你哪怕本地特征写的认真一点也可以，隔壁毒霸的win64.troj.magniber.2001548通杀了几个版本了？

显示全部楼层 · 发表于 2022-6-6 10:17:22

可能是因为刚好凑上了更新吧···

显示全部楼层 · 发表于 2022-6-6 10:18:57

应该测测企业版

显示全部楼层 · 发表于 2022-6-6 10:55:00

a8855942 发表于 2022-6-6 10:18
应该测测企业版

企业版之前对抗这类样本也无能为力，阻止不了加密的。现在就不清楚了

显示全部楼层 · 发表于 2022-6-6 10:57:52

自动机入库啊。。

显示全部楼层 · 发表于 2022-6-6 11:22:14

话说回来，有一个5月24的和一个6月1号的Magniber现在BD终于可以查杀了

一般BD miss的文件我都会放虚拟机桌面上，有事没事上虚拟机更新一下BD看看啥时候杀，没想到有一个活了半个多月

显示全部楼层 · 发表于 2022-6-6 11:24:43

hushuai 发表于 2022-6-6 11:22
话说回来，有一个5月24的和一个6月1号的Magniber现在BD终于可以查杀了
一般BD miss的文件我都会放虚 ...

那你再找一个没入库的试下主防呗

显示全部楼层 · 发表于 2022-6-6 12:36:11

pal家族发表于 2022-6-5 22:24
那你再找一个没入库的试下主防呗

昨天不是有人试过了么，还是挡不住。
样本区的magniber我第一时间测了不下20个。BD面对Magniber不外乎以下几种情况：
1.入库了，解压杀概率10%
2.入库了，杀tmp，无事发生，概率5%
3.云杀，无事发生，概率5%
4.扫描miss，双击ATD秒级响应，日志里发现ATD拦了十几个动作，同时病毒进度条走了一半弹出浏览器页面，文件被加密。病毒和ATD各干各的互不干扰。概率80%

这都两个月了吧，就没见过第五种情况。

显示全部楼层 · 发表于 2022-6-6 14:05:25

很多都是能杀，但拦不住加密，除非是一写入盘就杀那种

[讨论] （里程碑）BDTS首次在magniber双击运行后成功封锁

评分