学校电脑集体感染病毒，ESET无动于衷

淘淘巷

从昨天开始我的学校有不少同学都发现自己的U盘遭到了病毒感染。症状是在插上教室的电脑后，访问U盘会显示usb_driver.exe，双击后才能显示U盘内容，此外还导致打开U盘的过程中资源管理器卡顿。

但是这件事发生的匪夷所思之处在于，我的学校是购买了ESET Endpoint Antivirus的，并且教室的每台电脑都有部署（今天我去教室检查时，甚至还是最新的12版本），然而病毒就这么感染了近半数教室，ESET无动于衷，一度让我怀疑是不是出了什么意外。

直到我拿到一个被感染的U盘，才发现ESET真的直接把毒漏了。VT 41/71，但ESET不报，我都服了。但凡学校没花这个钱直接用MD，都不会感染。

样本请见样本区：https://bbs.kafan.cn/thread-2277888-1-1.html

微信

咖啡豆报了，E家居然没有，吓得我赶紧把E放进柜子吃灰

驭龙

解压

淘淘巷

驭龙 发表于 2025-1-4 20:58
解压

啊，咋VT没报啊

驭龙

淘淘巷 发表于 2025-1-4 21:00
啊，咋VT没报啊

建议把样本发在样本区，这里不允许发样本
有时候VT上的设置和版本更新都与客户端有区别

淘淘巷

驭龙 发表于 2025-1-4 21:01
有时候VT上的设置和版本更新都与客户端有区别

现在又用学校的EEA扫了一下，DOLKR.dll已经报了，但是wfdproxy.dll扫描还是不报（这个好像是云），我手动用右键检查信誉才杀掉
那我把样本挪到样本区

驭龙

淘淘巷 发表于 2025-1-4 21:05
现在又用学校的EEA扫了一下，DOLKR.dll已经报了，但是wfdproxy.dll扫描还是不报（这个好像是云），我手动 ...

对，那个是云杀，所以实际上你们学校感染，确实是ESET的锅，这锅是甩不掉的，没有强力主防，对付这种威胁还是不太行

kaspersky与火绒

淘淘巷 发表于 2025-1-4 21:00
啊，咋VT没报啊

你这个VT测试，不是eset都没参与测试吗

Anmoe

驭龙 发表于 2025-1-4 21:07
对，那个是云杀，所以实际上你们学校感染，确实是ESET的锅，这锅是甩不掉的，没有强力主防，对付这种威胁 ...

感觉还是威胁情报不广的问题 这个样本好多家都入库了 E家这里好像还是新的....

淘淘巷

驭龙 发表于 2025-1-4 21:07
对，那个是云杀，所以实际上你们学校感染，确实是ESET的锅，这锅是甩不掉的，没有强力主防，对付这种威胁 ...

比较讽刺的是，2022年及以前，学校是买了KES、EEA和瑞星ESM三个方案的，后来KES可能是用的人少或者太贵，就只剩EEA和瑞星ESM了