查看: 3367|回复: 18
收起左侧

[讨论] Avast可以刚Magniber了?(部分有效,待长期验证)

[复制链接]
开开心心卖手机
发表于 2022-7-2 20:05:55 | 显示全部楼层 |阅读模式
本帖最后由 开开心心卖手机 于 2022-7-2 20:14 编辑

今天闲来无事把最近几天样本区的Magniber下载下来一个个试,那些右键扫描miss的,双击都是报Win64:Evo-gen [Susp],我想去那些网址下个新的,但进不去
难道说可以通过这种方式杀掉那些新的未入库样本释放的tmp了?因为只是 测试了十几个样本,还有待其他坛友反馈



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
anthonyqian
发表于 2022-7-2 20:10:57 | 显示全部楼层
https://bbs.kafan.cn/thread-2229879-1-1.html

这种是机器学习报法,三月底我发的样本 Avast就可以报这个,但是仅限于一部分Magniber。

评分

参与人数 1人气 +1 收起 理由
开开心心卖手机 + 1 感谢解答: )

查看全部评分

开开心心卖手机
 楼主| 发表于 2022-7-2 20:13:56 | 显示全部楼层
anthonyqian 发表于 2022-7-2 20:10
https://bbs.kafan.cn/thread-2229879-1-1.html

这种是机器学习报法,三月底我发的样本 Avast就可以报这 ...

感谢解答!我再看看后续的新样本会不会都这样
LeeHS
发表于 2022-7-2 21:48:49 | 显示全部楼层
过扫描拦截或双击后能拦截回滚加密吗?
开开心心卖手机
 楼主| 发表于 2022-7-2 21:55:51 | 显示全部楼层
LeeHS 发表于 2022-7-2 21:48
过扫描拦截或双击后能拦截回滚加密吗?

目前我自己测试下来,没有入库的就两种情况:
第一种就是本贴提到的evo杀,病毒还没开始加密,刚释放的tmp就被杀了,这时候文件不会被加密
第二种就是双击,加密差不多了,触发Avast的反漏洞防护,报Win32:MagnitudeEK-AA[Trj],但是这时候文件都加密的差不多了,也不会回滚,直接GG
LeeHS
发表于 2022-7-2 22:22:53 | 显示全部楼层
开开心心卖手机 发表于 2022-7-2 21:55
目前我自己测试下来,没有入库的就两种情况:
第一种就是本贴提到的evo杀,病毒还没开始加密,刚释放的t ...

crowdstrike目前全是双击杀,但文件已经被加密了,这杀软对加密病毒抵御太差了
mogu6666
发表于 2022-7-3 09:35:55 | 显示全部楼层
本帖最后由 mogu6666 于 2022-7-3 09:37 编辑

avast永远慢人一步“后知后觉自逍遥”
现在avast好像也不抄VT了,VT上一堆红avast依然clean
我爱你哦123
发表于 2022-7-3 11:25:01 | 显示全部楼层
卡巴免费版误报少特征强
bbs2811125
发表于 2022-7-3 13:16:04 | 显示全部楼层
我爱你哦123 发表于 2022-7-3 11:25
卡巴免费版误报少特征强

算了吧,卡巴对这个系列也是靠紧急拉黑
bbs2811125
发表于 2022-7-3 13:17:15 | 显示全部楼层
这个就一般水平吧,国外厂商里目前就ESET跟进是最有效的,卡巴的云拉黑速度也不错
反而国产的几个特征和云跟进得更快一些
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 10:03 , Processed in 0.122520 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表