查看: 8241|回复: 50
收起左侧

[讨论] 瑞星为啥对Magniber连拉黑都不肯啊

  [复制链接]
MelissaBenoist
发表于 2022-7-5 09:12:11 | 显示全部楼层 |阅读模式
本帖最后由 MelissaBenoist 于 2022-7-5 09:24 编辑

今天在逛狮子的卡卡论坛时发现有人在问Magniber勒索病毒类的问题,但瑞星那边似乎除了回复等待后续引擎升级然后连Magniber样本连拉黑都不肯,虽然拉黑某个样本意义确实不大,但好歹杀一个是一个啊,目前的状态意思是哪怕明知道这个是样本且无法扫描到就不杀了吗?


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
杀软病综合医院
发表于 2022-7-5 09:14:55 | 显示全部楼层
总经理说目前这个样本还不能杀,程序员说哦
MelissaBenoist
 楼主| 发表于 2022-7-5 09:27:11 | 显示全部楼层
杀软病综合医院 发表于 2022-7-5 09:14
总经理说目前这个样本还不能杀,程序员说哦

搞不懂他们的逻辑,说是等引擎升级,但什么时候升级时间未知。
XywCloud
发表于 2022-7-5 09:44:27 | 显示全部楼层
受不了了,来回个帖。
  • 目前看到的这批Magniber,执行MSI包的时候会加载里面的一个DLL,由那个DLL执行具体的恶意行为(这种操作我记得以前的Magniber也有)。那个DLL在执行时会正常释放出来,因此会触发文件监控的检测
  • 那个DLL在之前是靠云来检测的,昨天开始就是靠一条本地特征通杀(上个礼拜五的时候我把这两个月采集的所有Magniber样本都给了同事,一条特征全杀干净了)
  • 扫描MSI无法报毒的原因单纯是以下两点:我们并没有对MSI包本身启用云查;引擎因某些原因限制了MSI的解包能力(实际上我们支持解开的压缩包、安装包、壳【统称复合文件】之类的比你们看到的和实际测试的要多得多,而且这个能力还在不断强化),这个限制会在近期解开(近期我们还重新放开了CHM帮助文档的解包【单纯因为性能而做了限制】,稍微做了点限制但无伤大雅,可以开始爆杀某些利用样本了)。至于云查的限制那就得往后稍稍了
  • 为啥不拉黑?靠现有手段强行拉黑可以,但无疑是在给将来挖坑。早期有过类似的经验教训(有些坑至今还没填完),所以现在希望不再挖坑,一概以更好的方式来解决

评分

参与人数 8人气 +16 收起 理由
dg1vg4 + 3 老哥稳!
ICzcz + 1 感谢解答: )
开开心心卖手机 + 3 感谢支持,欢迎常来: )
ericdj + 3 感谢提供分享
隔山打空气 + 3 感谢解答: )

查看全部评分

MelissaBenoist
 楼主| 发表于 2022-7-5 09:46:04 | 显示全部楼层
XywCloud 发表于 2022-7-5 09:44
受不了了,来回个帖。
  • 目前看到的这批Magniber,执行MSI包的时候会加载里面的一个DLL,由那个DLL ...

  • 那目前瑞星这边引擎升级了吗
    lvseqiji
    发表于 2022-7-5 09:52:18 | 显示全部楼层
    XywCloud 发表于 2022-7-5 09:44
    受不了了,来回个帖。
  • 目前看到的这批Magniber,执行MSI包的时候会加载里面的一个DLL,由那个DLL ...

  • 瑞星的主防有提升的希望吗?现在的内核加固十分鸡肋
    XywCloud
    发表于 2022-7-5 09:56:47 | 显示全部楼层
    lvseqiji 发表于 2022-7-5 09:52
    瑞星的主防有提升的希望吗?现在的内核加固十分鸡肋

    个人版主防的规则早就被我重写了,而且也已经上线了。只不过受限于框架,能干的事情不是特别多。
    企业版往后放放,得等底层的一些问题解决完再说。
    XywCloud
    发表于 2022-7-5 09:58:57 | 显示全部楼层
    MelissaBenoist 发表于 2022-7-5 09:46
    那目前瑞星这边引擎升级了吗

    不都说了近期解开MSI解包限制么,打算连同一个新的子引擎一起上线。
    lvseqiji
    发表于 2022-7-5 10:06:54 | 显示全部楼层
    XywCloud 发表于 2022-7-5 09:56
    个人版主防的规则早就被我重写了,而且也已经上线了。只不过受限于框架,能干的事情不是特别多。
    企业版 ...

    这样啊,那瑞星对于恶意脚本的云杀有改进吗,我之前听说好像脚本不云杀?
    XywCloud
    发表于 2022-7-5 10:11:06 | 显示全部楼层
    lvseqiji 发表于 2022-7-5 10:06
    这样啊,那瑞星对于恶意脚本的云杀有改进吗,我之前听说好像脚本不云杀?

    脚本现在不做云查,非PE的云查以后再放开。
    脚本这块我们有一些其他的打算
    您需要登录后才可以回帖 登录 | 快速注册

    本版积分规则

    手机版|杀毒软件|软件论坛| 卡饭论坛

    Copyright © KaFan  KaFan.cn All Rights Reserved.

    Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 02:48 , Processed in 0.133205 second(s), 18 queries .

    卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

    快速回复 客服 返回顶部 返回列表