系列2 关于最近的银狐木马跟勒索续集

a8855942

系列2 关于防勒索的保护_国外杀毒软件_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)
最近有人请我关注下银狐木马。最近测的样本也不是很多，就测了几个。后面又测了下勒索。谈谈的我感想：


第一个银狐木马 是论坛里面的名单手册。这个双击运行没什么动作。我用微步的云沙箱也测了下，释放了一个文件，只有一个百度跟一个联通的IP。
第二个是查。这个病毒动作就多了。微步也检出很多。

我记得木马前几年最著名的就是灰鸽子了，不知道更早的情况了。因为我玩的杀毒软件的时候也是10年后了，没有经历过更早期的病毒。
COMODO开启自动入沙就能阻挡很多文件了，很多未知文件都会入沙，其次是熊猫付费版的那个应用程序控制器，程序运行要手动允许。诺顿的下载防护也可以。不过有些许误报。过了就麻烦。木马跟勒索不同，木马是盗取资料。这里面只要带手动防火墙功能的都能拦截。SEP有一个设置项。COMODO开启手动防火墙。大蜘蛛受信任的连接。能够足够抵挡部分木马病毒了，勒索则是加密文件，没有防火墙动作。大蜘蛛的那个防勒索模块就非常给力直接就阻止了。COMODO可以自动入沙，但是防火墙跟HIPS都没报。勒索运行的时候那个VT会报可疑。有些病毒文件，会加载系统服务，大蜘蛛的那个预防御技术也能发挥作用。剩余一部分样本在大蜘蛛下运行不起来。测了一些样本，手动HIPS 防火墙之类的。还是挺有用的。这东西就看大家了。主动防御强的卡巴斯基也可以，红伞的云反应就很快。AVAST的免费版也可以，可疑就直接发送样本了。我只是说个人的感想把。

蒙特卡洛

windows defender云开高，防护这种应该问题不大吧

a8855942

蒙特卡洛 发表于 2024-9-8 21:20
windows defender云开高，防护这种应该问题不大吧

WD日常用可以，防勒索模式也不错。

驭龙

我也发现Avira对付银狐系列效果相当一般般，基本上都是过

对了，你测Avira的环境，Avira有启用sentry eye进程吗？sentry很挑环境，如果没有启动sentry eye进程常驻，那Avira就是没有启用sentry行为分析的

Loyisa

驭龙 发表于 2024-9-9 00:12
我也发现Avira对付银狐系列效果相当一般般，基本上都是过

对了，你测Avira的环境，Avira有启用sentry ey ...

我前几天测都会触发主防呀，好奇是不是环境差异
sentryeye是起来的

驭龙

Loyisa 发表于 2024-9-9 00:35
我前几天测都会触发主防呀，好奇是不是环境差异
sentryeye是起来的

我说的是扫描对银狐不行，不是说sentry不行，只是sentry很挑环境，不清楚楼主测的环境有没有sentry启用

Loyisa

驭龙 发表于 2024-9-9 00:40
我说的是扫描对银狐不行，不是说sentry不行，只是sentry很挑环境，不清楚楼主测的环境有没有sentry启用

哦哦，误解了 抱歉抱歉
扫描的话APC有几次发威过

驭龙

Loyisa 发表于 2024-9-9 00:41
哦哦，误解了 抱歉抱歉
扫描的话APC有几次发威过

是的，扫描有时候APC能杀几个银狐，有时候就没杀，似乎没有提取针对银狐的特征，所以扫描杀银狐一般般

我这边旧电脑就没法启用sentry，所以没法测双击，新电脑开了智能应用控制，所以根本测不了样本，我是没法测sentry的效果了，无奈

a8855942

驭龙 发表于 2024-9-9 00:12
我也发现Avira对付银狐系列效果相当一般般，基本上都是过

对了，你测Avira的环境，Avira有启用sentry ey ...

我没注意，默认设置。

驭龙

a8855942 发表于 2024-9-9 11:35
我没注意，默认设置。

这个需要看有没有sentryeye进程常驻，没有的话，是测不出sentry效果的，跟设置没关系，sentry挑环境，有的环境就不运行