这是一个创建于 3073 天前的主题,其中的信息可能已经有所发展或是发生改变。
http://bbs.kafan.cn/thread-2089134-1-1.html
现在应该所有杀软都已经入库可以防御,所以测试者把测试的杀软都锁在 5 个月前的毒库和行为库,测试对 5 个月后流行的病毒防御能力,近似模仿新变种勒索病毒释出,还没有入库无法识别的情况下,杀软的主防能否拦截病毒。
现在应该所有杀软都已经入库可以防御,所以测试者把测试的杀软都锁在 5 个月前的毒库和行为库,测试对 5 个月后流行的病毒防御能力,近似模仿新变种勒索病毒释出,还没有入库无法识别的情况下,杀软的主防能否拦截病毒。
 | 1 0TSH60F7J2rVkg8t 2017-05-14 14:02:12 +08:00 很好的测试啊,锁了病毒库,在 2016 年 12 月 12 日,然后查半年后的新病毒,很有参考价值。考验的就是杀软自己的安全体系,病毒库反而是次要的。行为检测,损坏回滚,这些都很重要!赞一下。 |
 | 2 majinjing3 2017-05-14 14:17:45 +08:00 via Android 赞 |
 | 3 isCyan 2017-05-14 14:18:57 +08:00 via Android 火绒挂了 |
 | 4 jasontse 2017-05-14 14:30:25 +08:00 via iPad |
 | 6 lair 2017-05-14 14:40:40 +08:00 所以说免费才是最贵的 |
 | 7 anjunecha 2017-05-14 14:59:54 +08:00 via iPhone  1 准备把火绒换掉了… |
 | 8 coolcfan 2017-05-14 15:10:18 +08:00 via Android  2 测试效果最好的里面 卡巴每个新版本都有严重 bug Emsisoft 主防可以把别的程序一切危险行为告诉你,但是有一些兼容性问题,比如让废渣地平线 3 无法启动 Bitdefender 的 ATC 在双击病毒方面一向表现良好,但是以前经常杀腾讯全家 (虽说也没冤枉腾讯 233 所以受不了 Win10 自动更新的人应该也不会选择这三个吧。 |
 | 9 JeffreyRSmith 2017-05-14 15:24:19 +08:00 @coolcfan 那给个推荐,选哪个好 |
| 10 coolcfan 2017-05-14 15:33:41 +08:00 1 @JeffreyRSmith #9 当然还是这三个咯,要最好的主防就要忍受它们的 bug ( |
 | 11 wisefree 2017-05-14 16:04:18 +08:00 心塞,,eset 居然没拦住。。 |
 | 12 sephinh 2017-05-14 16:42:08 +08:00 via Android 找了半天也没发现微软的 wd 如何 |
 | 13 standin000 2017-05-14 16:49:25 +08:00 火绒添加自己规格能防吗? |
 | 14 WhisperTseng 2017-05-14 16:53:36 +08:00 via iPhone eset 没拦住,心塞+1 |
 | 15 chocolatesir 2017-05-14 16:53:37 +08:00 via Android @wisefree +1 所以刚刚入了 24 块 3 年的大蜘蛛。。。 |
 | 17 chairuosen 2017-05-14 17:01:14 +08:00 最好再来一个 5 月病毒库的横向测试,这样能再过滤出一些虽然没那么 NB,但也做好了本分的厂商。再剩下的就可以标记成垃圾杀软了。 |
 | 19 mikeven 2017-05-14 17:04:49 +08:00 总结:国产杀软的都是辣鸡~ |
 | 20 davidzhanwork 2017-05-14 17:06:24 +08:00 via Android @chocolatesir 是怎么买到的呢? 我这边看官网 28 欧元一年... |
 | 21 yinflying 2017-05-14 17:18:50 +08:00 |
| 22 chocolatesir 2017-05-14 17:19:00 +08:00 via Android |
 | 23 wdlth 2017-05-14 18:14:09 +08:00 1 风水轮流转,说不定下次就变了…… 大多数杀软还不会把所有的文档读写操作都监控吧,毕竟相比于勒索病毒,其他的病毒也得防。 |
 | 25 EIlenZe 2017-05-14 18:36:00 +08:00 via iPhone 2 看昨天大家还在火绒+1 +1 加到了 10086 |
 | 26 SuperMild 2017-05-14 18:58:51 +08:00 大蜘蛛看起来有独到之处呀 |
| 27 jasontse 2017-05-14 18:59:29 +08:00 via iPad 1 |
| 28 jasontse 2017-05-14 19:13:42 +08:00 via iPad |
 | 29 chocolatesir 2017-05-14 19:19:12 +08:00 via Android @jasontse 百度是用的比特梵德的核吧。 |
| 30 chocolatesir 2017-05-14 19:19:56 +08:00 via Android @SuperMild 在国内。大蜘蛛误杀还比较高。。 |
 | 31 wangxiaoer 2017-05-14 19:21:00 +08:00 一个个都特么时候诸葛亮啊,这个时候还有毛用 :doge |
| 32 jasontse 2017-05-14 19:30:24 +08:00 via iPad @chocolatesir 但是其它的国产壳都没扫出来这就能说明问题了 |
 | 33 hx1997 2017-05-14 19:41:03 +08:00 @jasontse #28 最早的是这个: https://www.virustotal.com/en/file/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa/analysis/1494574270/ 360 QVM 云启发了,但后来几次就不报了,无语。。。 |
 | 34 acrisliu 2017-05-14 20:09:27 +08:00 via Android 卡饭不是垃圾站么? |
 | 36 lsido 2017-05-14 20:42:33 +08:00 终上所述,360 是个垃圾 |
 | 37 guozixi 2017-05-14 20:44:06 +08:00 via Android 很好的测试,对选择杀毒软件很有帮助。 |
| 38 guozixi 2017-05-14 20:44:32 +08:00 via Android @wangxiaoer 对选择杀软有帮助啊 |
 | 39 zander 2017-05-14 21:04:28 +08:00 火绒主杀确实弱。积累还是不够。 |
 | 40 artandlol 2017-05-14 21:38:28 +08:00 via Android 给它再加个壳再测试 你会发现 又有很多软件根本查不出来 |
| 41 sephinh 2017-05-14 21:39:15 +08:00 via iPhone @lazycat 说的找包括但不限于楼主发的测试啊,win7 就是 mse 啊,8 以后都是 wd,但东西基本都是那一套 |
 | 42 taineric 2017-05-14 21:52:36 +08:00 via Android |
 | 43 sgissb1 2017-05-14 21:54:08 +08:00 @jasontse 金山不是当年的金山了,终端用户市场也越做越弱了。当年 android 2.3 的时候,金山手机助手还是蛮好用的,结果到了后面和数字公司比谁更卡,谁更能弹广告了。老本行都快被丢完了。 |
 | 44 kn007 2017-05-14 22:11:46 +08:00 看来我推荐卡巴是对的。 |
 | 45 zea 2017-05-14 22:32:46 +08:00 via Android Avira 没通过…伤心。卡巴太卡了,最后没用 |
 | 46 mingyun 2017-05-14 22:48:10 +08:00 上午 QQ 管家还推送消息说可以开启文档保护 |
| 47 zander 2017-05-14 23:01:58 +08:00 via iPhone 一个系统补丁就解决的事硬要推销一大把乱七八糟的东西,知乎微博上那堆乱七八糟的教程看着就烦。 360 的微博把这个文章挂起来了,说这是故意抹黑 360 的文章。 |
| 48 zander 2017-05-14 23:09:33 +08:00 via iPhone 看开机后是 360 快还是病毒快了。 理论上 360 会快一点。 装 360 的话。 金山的话自求多福吧。 |
| 49 wdlth 2017-05-14 23:12:42 +08:00 1 @taineric 本身这个测试就是偏向于这款勒索软件,或者说它的部分行为,并不代表这些杀软能防 5 个月后的新病毒、新勒索软件。 比如以前这个 UFEI 的勒索软件 Petya: https://www.virustotal.com/zh-cn/file/ac710109b547fe2a7abb42689c1d5b7546aecd978fe070c47668a2904df8f2a5/analysis/1481132040/#analysis 又是另外的一番景象。技术更新很快,只有多多提高自己的安全意识才行。 http://support.eset.com/kb6119/ ESET 建议把 cscript.exe、wscript.exe、Powershell、Adobe Reader、Office 等加入 HIPS 的规则里面,牺牲便利性以提高安全性。 |
 | 52 ctsed 2017-05-15 00:03:53 +08:00 via Android 360 企业版的天擎好像上个月就对这个漏洞更新规则了 |
 | 53 skyeycirno 2017-05-15 00:07:35 +08:00 卡巴斯基确实厉害啊 |
 | 54 baskice 2017-05-15 00:30:42 +08:00 诺顿 norton 2016 年 12 月 12 日版能否主动杀到?有没有谁能做个测试? |
 | 55 Technetiumer 2017-05-15 00:34:19 +08:00 via Android @zea @wzw @WhisperTseng @wisefree ESET、Avira 没防住,这些杀软是 **没有主防** 的(行为分析) 纯靠快速响应拼速度的,没入库就完蛋 ESET 有 HIPS,如果用 HIPS 规则禁止写入修改重要文件也能算防住,不过弹窗烦死你 红伞有 APC (上传,分析,拉黑) @Domains WNCRY 利用永恒之蓝漏洞攻击后,释放了一个和一般勒索程序没啥区别的衍生物程序来勒索的,而不是直接利用漏洞执行勒索行为 也就是说,白白浪费了漏洞无需写入硬盘即可执行的特性,释放了一个普通的勒索程序,而且设计还有缺陷 因此个人认为杀软防御普通勒索和 WNCRY 的难度没有区别 @rosu 火绒主打行为分析(主防和动态启发)的,病毒库弱,如果行为分析不行,火绒只能用防流氓了 火绒的行为分析和 avast 的行为分析防 Cerber 很好的,这次 WNCRY 没防住而已 之前 BD 的 ATC (主防)还总被 Cerber 过呢,入库也缓慢 @jasontse @chocolatesir WisdomEyes 是百度自家引擎(慧眼),而且测试中 BD 是主防拦截( ATC ),不是入库 WisdomEyes 似乎很牛逼,总是第一时间拉黑,不知道会不会是传到 VT 不管是什么先拉黑再说 @mikeven 总结:无主防杀软都是辣鸡~ |
 | 56 Domains 2017-05-15 00:37:56 +08:00 1 @EIlenZe 哈哈,这就要和你补充说一下,上面的话太简单不严谨,免得误导你了。 火绒更新的频次本来就低,指望这货查杀病毒本身也是不靠谱,我使用火绒不是因为谁谁推荐,而是因为适合我自己,自己对于安全、病毒这些还有些了解,现在已经不折腾了(以前会把收集到的木马跑一遍,再观察情况,写个手工清除教程什么的)但自带的太没存在感了,火绒这样带防火墙也带 HIPS 的轻量级安全软件对我来说已经够用了。 这次是 0day 攻击,是系统级的漏洞利用,除了补丁,没得防。启发式、行为分析等查杀手段之所以不靠谱,是软件远远没那么智能,规则太松了没效果,太严了就影响一大片,因为用户的应用环境千变万化 。 其实安全软件市场很大,蛋糕很大,你看看国外,就算这几年已经不像过去那么多病毒流行,依然能容纳那么多家安全软件产商,赛门铁克、McAfee、趋势科技、Kaspersky、熊猫、小红伞、AVAST、ESET 等等,国内实质上是被 360 所谓的免费搞烂了。 |
| 57 Technetiumer 2017-05-15 00:38:03 +08:00 via Android 再次推荐使用知名大厂带本地主动防御杀软 其中免费的有 BD Avast |
| 58 Domains 2017-05-15 00:47:19 +08:00 @Technetiumer 那不可能的,一个病毒能成形,必须病毒实体文件到达用户硬盘,并且被激活运行了一遍。 病毒实质上就是一个可执行程序,只是被错误安装进系统。没那么神乎的 |
 | 59 phoenixlzx 2017-05-15 00:47:42 +08:00 日本这边基本是 Norton 撑大旗,shopping mall 软件区各种摆满。其他的能看到趋势科技(?没看错的话)和 ESET 不过份额很少。 于是公司跟风买了 Norton Small Business 给员工用........... 不过这次圈子里分享病毒样本的时候 Norton 还是非常利索地都给干掉了就是。 |
| 60 Technetiumer 2017-05-15 00:50:56 +08:00 via Android @Domains 转自卡饭 该病毒最精华的部分,也就是让它带有蠕虫性质的自动入侵模块,其实是照搬自今年 3 月被维基解密曝光的 NSA (美国国家安全局)的网络武器“永恒之蓝“。 而在“永恒之蓝”完成入侵后,接下来的东西就暴露了作者的水平。 单就“永恒之蓝”,其入侵手段非常完美,利用远程执行漏洞,使用 Shellcode 获取管理员权限,整个过程都隐藏在内存里,,不进行任何文件读写,完美规避安软的文件扫描(部分安软的基于进程的内存扫描也很难扫到),那么这个拥有管理员权限,几乎可以为所欲为的 Shell 做了什么呢?仅仅只是联网下载病毒本体到 ProgramData 文件夹,并将其执行,然后就 自动退出了。。。。。。。。。。。 自动退出了。。。。。。。。。。。 自动退出了。。。。。。。。。。。 合着国家级的入侵工具,你就拿它当下载器? 亏得刚刚避过了安软的文件扫描,一下载文件到硬盘,完全破功,很多静态扫描强的安软,这时候很可能就把本体杀掉了。至于下回来的本体,就是一普通的勒索加密,用的是自加密的最初级加壳方式,直接使用命令获取所有文件的写权限,动作之大,只能说掩耳盗铃,视安软的主防于无物,从下面的测试里也能看出,断网状态、16 年 12 月行为特征库的各大安软就纷纷将其斩于马下。更无语的是,该病毒是先在本地生成加密密钥,加密完才上传至服务器,察觉的快的话,没有杀软的情况下也可能挽救文件。 |
 | 61 jinghli 2017-05-15 01:05:01 +08:00 via Android 这个测试没什么意义。病毒库除了静态病毒 signatures 之外还有别的内容。即便可以检测,检测的名字也是 generic 的 trojan。这有什么意义。 |
| 62 Technetiumer 2017-05-15 01:06:30 +08:00 via Android 这么一个牛逼的漏洞被这么一个有缺陷的勒索爆了 估计无数 xx 人员气的想骂人 离线勒索软件思路 AES 加密文件,RSA 公钥加密 AES 密钥,要求用户通过 tor 的.onion 网站提交被 RSA 加密的 AES 密钥文件,同时还要用户提交即将用于支付赎金的比特币钱包地址,这样能绑定用户和比特币钱包地址,然后要求用比特币付款,暗网网站后台程序自动验证,自动用 RSA 私钥解密 AES 密钥文件,向用户发放 AES 解密密钥,用户向解密器填入专属 AES 密钥解密。 全程被害电脑可以断网,赎回文件可以用其他电脑操作。 |
| 63 Domains 2017-05-15 01:15:03 +08:00 @Technetiumer 哈哈,纯内存,重启不就没事了? 病毒一定是要有实体文件的,你可以说在缓存里,但仍然是有实体,不然怎么生效? 病毒要生存要常驻(不然重启怎么办),甚至可以内核级、驱动级加载,或者可以欺诈隐藏,挂了了钩子对系统查询返回虚假值(典型就是 Rootkit ) 而这个是 A+B 的套餐,即使 A 是可以因为永恒之蓝可以在目标机器以内存方式执行机器源码,但 B 仍然是实体文件程序。虽说这是个破坏型的病毒,只需要执行一次,不需要像木马那样希望开机常驻,但考虑到要实现勒索、解密功能,怎么可能光在内存就够了? 何况你也说了,它还有蠕虫的攻击特征,怎么会没有实体的程序文件? |
| 64 Technetiumer 2017-05-15 01:48:41 +08:00 via Android @Domains 应该 A 加密后,再释放 B。 如果 B 去加密文件,那么运行在内存中的 A 无非就是个下载器,下载了个普通勒索程序 B,B 有了实体文件就会被杀软文件监控扫描。 如果 A 去加密,那么没有文件读写可以绕过杀软文件实时监控,加密后再释放解密和说明程序 B,这样到现在哪怕入库了只要没有内存扫描和主防的杀软也会被绕过。 我看这个卡饭帖子写的是 A 释放了 B,B 加密文件。 |
| 65 Domains 2017-05-15 02:29:23 +08:00 @Technetiumer 对啊,A 是下载器也是一个实体程序文件的,典型就是木马下载器+真正木马模式,木马下载器很小巧,10KB 就够了,然后再偷偷后台下载真正的木马并运行释放。所以,要拦截也是有办法的,IDM 就够了,因为 IDM 能拦截所有下载请求。 总之,你上面贴的那段太玄乎了 |
 | 66 msg7086 2017-05-15 04:48:13 +08:00 @Technetiumer 远程执行漏洞的话,应该是负责 SMB 的系统进程被植入了 A,要杀是一样能杀,只不过变成杀系统进程了而已…… 的确这得靠内存查杀和行为防御…… |
 | 67 Trim21 2017-05-15 06:36:00 +08:00 via iPad @yicun 自动更新修复过的漏洞不也爆发了。。。关自动更新的应该也不会有用了 Windows defender。。。 |
 | 68 acess 2017-05-15 08:38:34 +08:00 1 这个东西主要还是靠神洞 eternalblue 传播的吧?不知道这和直接双击会不会产生不同的结果。原帖作者是直接双击的,并不是另找一台虚拟机来感染它。 |
| 70 acess 2017-05-15 08:52:14 +08:00 @Technetiumer “该病毒是先在本地生成加密密钥,加密完才上传至服务器,察觉的快的话,没有杀软的情况下也可能挽救文件。” 不知道这贴来自几楼? 按照目前的分析,这病毒加密一个文件换一个密钥,是严谨 /恶毒的表现。虽然它确实干了强行获取文件可写权限、忘记抹掉未加密原始文件等错误,但我觉得本地生成加密密钥真的是亮点……(但如果病毒没及时从内存中清除掉私钥,折腾那么多就完全没意义了,内存 dump 即可破之) |
 | 71 blues9 2017-05-15 09:01:07 +08:00 有没有什么靠谱的专杀工具?不想为了它而新装一个杀毒软件。 |
 | 73 liaoyaoheng 2017-05-15 09:53:04 +08:00 Windows Defender 呢? |
 | 74 U7Q5tLAex2FI0o0g 2017-05-15 10:00:31 +08:00 数字公司的那个笑死我了  |
| 76 U7Q5tLAex2FI0o0g 2017-05-15 10:09:36 +08:00 1 @fate #75 最早最有效的避免病毒的不应该是微软 3 月份的补丁么 [滑稽 |
 | 77 terence4444 2017-05-15 10:11:16 +08:00 via iPhone @fate 哈哈哈哈哈 |
 | 78 lhw45202 2017-05-15 10:20:12 +08:00 这种测试没什么意义 |
 | 80 Quaintjade 2017-05-15 10:35:47 +08:00 |
 | 81 benjaminliangcom 2017-05-15 11:17:39 +08:00 怎么不测一下 windows defender |
 | 82 md5 2017-05-15 11:27:50 +08:00 via Android 1 以前有 wd 吹,现在改吹火绒。 他们觉得一个安静不骚扰就是好杀软。 就是要一个所谓轻量级防护,图一个心理安慰。 |
 | 83 aev2ex 2017-05-15 11:40:50 +08:00 |
 | 84 Tink PRO 360 这个洗白我给 0 分 |
 | 85 skylancer 2017-05-15 12:31:43 +08:00 @Domains 你又知道人家会用 HTTP 下载?退一步,就算用 HTTP 我用 Stream 你 IDM 拦给我看? |
 | 86 xvx 2017-05-15 12:48:07 +08:00 via iPhone 我觉得毛豆的防火墙开了沙盒和 D+都能拦住了…… |
| 87 Domains 2017-05-15 13:29:37 +08:00 @skylancer 嗯,BT 这样本身 IDM 也不支持,但是这样的话,A 就要内置 BT 等的下载功能模块,A 的体积就变大了。这样 A+B 模式的话,应该类似于木马下载器+真木马这样模式,A 要保持小巧简洁,达到快速刺入对方系统的目的。 @acess 写进 MBR 启动层也是文件啊,也是写入了硬盘啊,只是不是一般所看到存在于 Windows 的文件罢了,而且,暗云加载进系统,会释放出诸如 xnfbase.dll、thpro32.dll 等文件,这是它要实际它那些功能的模块,怎么没有实体文件。MBR 空间有限,必然木马体积也少,功能就受限,写入 MBR 只是为了保持常驻。具体的功能还得新下载模块文件。这个上面也说过了,这个勒索界面不是提供一个测试解锁的,让你相信它能解,放心付款,既然有这些功能,怎么会没有实体文件实现,全部挂到内存不现实,在我看来太玄学了。 另,这也不是说 IDM 如何,只是说一种技巧,本身 IDM 也有局限的,是按扩展名归类的,.exe/.zip 等等才拦截,要是病毒换个扩展名也是没反应的,比如说早期 IE 有个漏洞,能把.css 文档错误执行,你把.exe 改成.css 挂到网页,用户打开网页就会中招。IDM 要有效就要把.css 扩展名加上。 |
| 88 acess 2017-05-15 13:47:37 +08:00 via Android @Domains MBR Bootkit 完全可以做到一个文件不“落地”啊。 如果 MBR 是文件,那是不是能说一切皆文件…… |
 | 90 yylzcom 2017-05-15 13:51:47 +08:00 @xvx #86 另,以前我用 ss 的客户端,升级后配置文件一直被放沙盒里,导致每次开机都要修改端口才能使用,还以为是 ss 客户端的 bug,结果发现是毛豆的锅,一怒之下换火绒…… |
| 91 xvx 2017-05-15 13:57:10 +08:00 via iPhone |
| 92 Domains 2017-05-15 14:27:36 +08:00 @acess 你仔细看看#60 的描述…… “整个过程都隐藏在内存里,不进行任何文件读写” …… 这特么是玄学,然后你再看勒索病毒,都有个提示窗口,告诉你已被勒索了,要是真内存运行,不留文件,那么重启一次不就没有这勒索窗口了?没了这窗口,怎么再次提醒对方要付款的 BTC 钱包收款地址?利益怎么最大化? |
| 93 acess 2017-05-15 15:35:17 +08:00 via Android @Domains 已经有 Petya 这个 MBR 里的勒索软件了。蓝屏强制重启,重启时伪装成磁盘检查,实际上是执行加密。 不过它用了被弱化的加密算法,被安全研究人员爆破了,即使不爆破,加密的也只有 MFT,找个 DiskGenius 仍然可以扫出文件来……说这些都跑题了,如果 WanaCry 也想到类似的思路了,可能只是编程麻烦一些,能产生的危害可能比现在还大。 |
 | 96 Chalice 2017-05-23 11:54:21 +08:00 @Domains。。算不上 0day 吧,官方早就发布补丁了,这次的测试也是直接跑程序,就算没发布补丁也没涉及到攻防对抗方面的漏洞啊。 |
| 99 coolcfan 2017-05-23 15:28:50 +08:00 @Chalice #98 哈哈哈,是的,所以我之前一直没有去用…… 今天装的 2017 已经出到补丁 D 了,说是好了不少,然而 2018 已经在测试了。 |
 | 100 ivanlw 2017-07-06 13:08:08 +08:00 |
Select Language