这是一个创建于 2729 天前的主题,其中的信息可能已经有所发展或是发生改变。
http://bbs.kafan.cn/thread-2089134-1-1.html
现在应该所有杀软都已经入库可以防御,所以测试者把测试的杀软都锁在 5 个月前的毒库和行为库,测试对 5 个月后流行的病毒防御能力,近似模仿新变种勒索病毒释出,还没有入库无法识别的情况下,杀软的主防能否拦截病毒。
现在应该所有杀软都已经入库可以防御,所以测试者把测试的杀软都锁在 5 个月前的毒库和行为库,测试对 5 个月后流行的病毒防御能力,近似模仿新变种勒索病毒释出,还没有入库无法识别的情况下,杀软的主防能否拦截病毒。
 |
1
0TSH60F7J2rVkg8t 2017-05-14 14:02:12 +08:00
很好的测试啊,锁了病毒库,在 2016 年 12 月 12 日,然后查半年后的新病毒,很有参考价值。考验的就是杀软自己的安全体系,病毒库反而是次要的。行为检测,损坏回滚,这些都很重要!赞一下。
|
 |
2
majinjing3 2017-05-14 14:17:45 +08:00 via Android
赞👍
|
 |
3
isCyan 2017-05-14 14:18:57 +08:00 via Android
火绒挂了
|
 |
4
jasontse 2017-05-14 14:30:25 +08:00 via iPad
|
 |
6
lair 2017-05-14 14:40:40 +08:00
所以说免费才是最贵的
|
 |
7
anjunecha 2017-05-14 14:59:54 +08:00 via iPhone  1
准备把火绒换掉了…
|
 |
8
coolcfan 2017-05-14 15:10:18 +08:00 via Android 2
测试效果最好的里面
卡巴每个新版本都有严重 bug Emsisoft 主防可以把别的程序一切危险行为告诉你,但是有一些兼容性问题,比如让废渣地平线 3 无法启动 Bitdefender 的 ATC 在双击病毒方面一向表现良好,但是以前经常杀腾讯全家 (虽说也没冤枉腾讯 233 所以受不了 Win10 自动更新的人应该也不会选择这三个吧。 |
 |
9
JeffreyRSmith 2017-05-14 15:24:19 +08:00
@coolcfan 那给个推荐,选哪个好
|
|
10
coolcfan 2017-05-14 15:33:41 +08:00 1
@JeffreyRSmith #9 当然还是这三个咯,要最好的主防就要忍受它们的 bug (
|
 |
11
wisefree 2017-05-14 16:04:18 +08:00
心塞,,eset 居然没拦住。。
|
 |
12
sephinh 2017-05-14 16:42:08 +08:00 via Android
找了半天也没发现微软的 wd 如何
|
 |
13
standin000 2017-05-14 16:49:25 +08:00
火绒添加自己规格能防吗?
|
 |
14
WhisperTseng 2017-05-14 16:53:36 +08:00 via iPhone
eset 没拦住,心塞+1
|
 |
15
chocolatesir 2017-05-14 16:53:37 +08:00 via Android
@wisefree +1 所以刚刚入了 24 块 3 年的大蜘蛛。。。
|
 |
17
chairuosen 2017-05-14 17:01:14 +08:00
最好再来一个 5 月病毒库的横向测试,这样能再过滤出一些虽然没那么 NB,但也做好了本分的厂商。再剩下的就可以标记成垃圾杀软了。
|
 |
19
mikeven 2017-05-14 17:04:49 +08:00
总结:国产杀软的都是辣鸡~
|
 |
20
davidzhanwork 2017-05-14 17:06:24 +08:00 via Android
@chocolatesir 是怎么买到的呢? 我这边看官网 28 欧元一年...
|
 |
21
yinflying 2017-05-14 17:18:50 +08:00
|
|
22
chocolatesir 2017-05-14 17:19:00 +08:00 via Android
|
 |
23
wdlth 2017-05-14 18:14:09 +08:00 1
风水轮流转,说不定下次就变了……
大多数杀软还不会把所有的文档读写操作都监控吧,毕竟相比于勒索病毒,其他的病毒也得防。 |
 |
25
EIlenZe 2017-05-14 18:36:00 +08:00 via iPhone 2
看昨天大家还在火绒+1 +1 加到了 10086
|
 |
26
SuperMild 2017-05-14 18:58:51 +08:00
大蜘蛛看起来有独到之处呀
|
|
27
jasontse 2017-05-14 18:59:29 +08:00 via iPad 1
|
|
28
jasontse 2017-05-14 19:13:42 +08:00 via iPad
|
|
29
chocolatesir 2017-05-14 19:19:12 +08:00 via Android
@jasontse 百度是用的比特梵德的核吧。
|
|
30
chocolatesir 2017-05-14 19:19:56 +08:00 via Android
@SuperMild 在国内。大蜘蛛误杀还比较高。。
|
 |
31
wangxiaoer 2017-05-14 19:21:00 +08:00
一个个都特么时候诸葛亮啊,这个时候还有毛用 :doge
|
|
32
jasontse 2017-05-14 19:30:24 +08:00 via iPad
@chocolatesir 但是其它的国产壳都没扫出来这就能说明问题了
|
 |
33
hx1997 2017-05-14 19:41:03 +08:00
@jasontse #28 最早的是这个: https://www.virustotal.com/en/file/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa/analysis/1494574270/
360 QVM 云启发了,但后来几次就不报了,无语。。。 |
 |
34
acrisliu 2017-05-14 20:09:27 +08:00 via Android
卡饭不是垃圾站么?
|
 |
36
lsido 2017-05-14 20:42:33 +08:00
终上所述,360 是个垃圾
|
 |
37
guozixi 2017-05-14 20:44:06 +08:00 via Android
很好的测试,对选择杀毒软件很有帮助。
|
|
38
guozixi 2017-05-14 20:44:32 +08:00 via Android
@wangxiaoer 对选择杀软有帮助啊
|
 |
39
zander 2017-05-14 21:04:28 +08:00
火绒主杀确实弱。积累还是不够。
|
 |
40
artandlol 2017-05-14 21:38:28 +08:00 via Android
给它再加个壳再测试 你会发现 又有很多软件根本查不出来
|
|
41
sephinh 2017-05-14 21:39:15 +08:00 via iPhone
@lazycat 说的找包括但不限于楼主发的测试啊,win7 就是 mse 啊,8 以后都是 wd,但东西基本都是那一套
|
 |
42
taineric 2017-05-14 21:52:36 +08:00 via Android
|
 |
43
sgissb1 2017-05-14 21:54:08 +08:00
@jasontse 金山不是当年的金山了,终端用户市场也越做越弱了。当年 android 2.3 的时候,金山手机助手还是蛮好用的,结果到了后面和数字公司比谁更卡,谁更能弹广告了。老本行都快被丢完了。
|
 |
44
kn007 2017-05-14 22:11:46 +08:00
看来我推荐卡巴是对的。
|
 |
45
zea 2017-05-14 22:32:46 +08:00 via Android
Avira 没通过…伤心。卡巴太卡了,最后没用
|
 |
46
mingyun 2017-05-14 22:48:10 +08:00
上午 QQ 管家还推送消息说可以开启文档保护
|
|
47
zander 2017-05-14 23:01:58 +08:00 via iPhone
一个系统补丁就解决的事硬要推销一大把乱七八糟的东西,知乎微博上那堆乱七八糟的教程看着就烦。
360 的微博把这个文章挂起来了,说这是故意抹黑 360 的文章。 |
|
48
zander 2017-05-14 23:09:33 +08:00 via iPhone
看开机后是 360 快还是病毒快了。
理论上 360 会快一点。 装 360 的话。 金山的话自求多福吧。 |
|
49
wdlth 2017-05-14 23:12:42 +08:00 1
@taineric 本身这个测试就是偏向于这款勒索软件,或者说它的部分行为,并不代表这些杀软能防 5 个月后的新病毒、新勒索软件。
比如以前这个 UFEI 的勒索软件 Petya: https://www.virustotal.com/zh-cn/file/ac710109b547fe2a7abb42689c1d5b7546aecd978fe070c47668a2904df8f2a5/analysis/1481132040/#analysis 又是另外的一番景象。技术更新很快,只有多多提高自己的安全意识才行。 http://support.eset.com/kb6119/ ESET 建议把 cscript.exe、wscript.exe、Powershell、Adobe Reader、Office 等加入 HIPS 的规则里面,牺牲便利性以提高安全性。 |
 |
52
ctsed 2017-05-15 00:03:53 +08:00 via Android
360 企业版的天擎好像上个月就对这个漏洞更新规则了
|
 |
53
skyeycirno 2017-05-15 00:07:35 +08:00
卡巴斯基确实厉害啊
|
 |
54
baskice 2017-05-15 00:30:42 +08:00
诺顿 norton 2016 年 12 月 12 日版能否主动杀到?有没有谁能做个测试?
|
 |
55
Technetiumer 2017-05-15 00:34:19 +08:00 via Android
@zea
@wzw @WhisperTseng @wisefree ESET、Avira 没防住,这些杀软是 **没有主防** 的(行为分析) 纯靠快速响应拼速度的,没入库就完蛋 ESET 有 HIPS,如果用 HIPS 规则禁止写入修改重要文件也能算防住,不过弹窗烦死你 红伞有 APC (上传,分析,拉黑) @Domains WNCRY 利用永恒之蓝漏洞攻击后,释放了一个和一般勒索程序没啥区别的衍生物程序来勒索的,而不是直接利用漏洞执行勒索行为 也就是说,白白浪费了漏洞无需写入硬盘即可执行的特性,释放了一个普通的勒索程序,而且设计还有缺陷 因此个人认为杀软防御普通勒索和 WNCRY 的难度没有区别 @rosu 火绒主打行为分析(主防和动态启发)的,病毒库弱,如果行为分析不行,火绒只能用防流氓了 火绒的行为分析和 avast 的行为分析防 Cerber 很好的,这次 WNCRY 没防住而已 之前 BD 的 ATC (主防)还总被 Cerber 过呢,入库也缓慢 @jasontse @chocolatesir WisdomEyes 是百度自家引擎(慧眼),而且测试中 BD 是主防拦截( ATC ),不是入库 WisdomEyes 似乎很牛逼,总是第一时间拉黑,不知道会不会是传到 VT 不管是什么先拉黑再说 @mikeven 总结:无主防杀软都是辣鸡~ |
 |
56
Domains 2017-05-15 00:37:56 +08:00 1
@EIlenZe 哈哈,这就要和你补充说一下,上面的话太简单不严谨,免得误导你了。 火绒更新的频次本来就低,指望这货查杀病毒本身也是不靠谱,我使用火绒不是因为谁谁推荐,而是因为适合我自己,自己对于安全、病毒这些还有些了解,现在已经不折腾了(以前会把收集到的木马跑一遍,再观察情况,写个手工清除教程什么的)但自带的太没存在感了,火绒这样带防火墙也带 HIPS 的轻量级安全软件对我来说已经够用了。
这次是 0day 攻击,是系统级的漏洞利用,除了补丁,没得防。启发式、行为分析等查杀手段之所以不靠谱,是软件远远没那么智能,规则太松了没效果,太严了就影响一大片,因为用户的应用环境千变万化 。 其实安全软件市场很大,蛋糕很大,你看看国外,就算这几年已经不像过去那么多病毒流行,依然能容纳那么多家安全软件产商,赛门铁克、McAfee、趋势科技、Kaspersky、熊猫、小红伞、AVAST、ESET 等等,国内实质上是被 360 所谓的免费搞烂了。 |
|
57
Technetiumer 2017-05-15 00:38:03 +08:00 via Android
再次推荐使用知名大厂带本地主动防御杀软
其中免费的有 BD Avast |
|
58
Domains 2017-05-15 00:47:19 +08:00
@Technetiumer 那不可能的,一个病毒能成形,必须病毒实体文件到达用户硬盘,并且被激活运行了一遍。 病毒实质上就是一个可执行程序,只是被错误安装进系统。没那么神乎的
|
 |
59
phoenixlzx 2017-05-15 00:47:42 +08:00
日本这边基本是 Norton 撑大旗,shopping mall 软件区各种摆满。其他的能看到趋势科技(?没看错的话)和 ESET 不过份额很少。
于是公司跟风买了 Norton Small Business 给员工用........... 不过这次圈子里分享病毒样本的时候 Norton 还是非常利索地都给干掉了就是。 |
|
60
Technetiumer 2017-05-15 00:50:56 +08:00 via Android
@Domains
转自卡饭 该病毒最精华的部分,也就是让它带有蠕虫性质的自动入侵模块,其实是照搬自今年 3 月被维基解密曝光的 NSA (美国国家安全局)的网络武器——“永恒之蓝“。 而在“永恒之蓝”完成入侵后,接下来的东西就暴露了作者的水平。 单就“永恒之蓝”,其入侵手段非常完美,利用远程执行漏洞,使用 Shellcode 获取管理员权限,整个过程都隐藏在内存里,,不进行任何文件读写,完美规避安软的文件扫描(部分安软的基于进程的内存扫描也很难扫到),那么这个拥有管理员权限,几乎可以为所欲为的 Shell 做了什么呢?仅仅只是联网下载病毒本体到 ProgramData 文件夹,并将其执行,然后就 自动退出了。。。。。。。。。。。 自动退出了。。。。。。。。。。。 自动退出了。。。。。。。。。。。 合着国家级的入侵工具,你就拿它当下载器? 亏得刚刚避过了安软的文件扫描,一下载文件到硬盘,完全破功,很多静态扫描强的安软,这时候很可能就把本体杀掉了。至于下回来的本体,就是一普通的勒索加密,用的是自加密的最初级加壳方式,直接使用命令获取所有文件的写权限,动作之大,只能说掩耳盗铃,视安软的主防于无物,从下面的测试里也能看出,断网状态、16 年 12 月行为特征库的各大安软就纷纷将其斩于马下。更无语的是,该病毒是先在本地生成加密密钥,加密完才上传至服务器,察觉的快的话,没有杀软的情况下也可能挽救文件。 |
 |
61
jinghli 2017-05-15 01:05:01 +08:00 via Android
这个测试没什么意义。病毒库除了静态病毒 signatures 之外还有别的内容。即便可以检测,检测的名字也是 generic 的 trojan。这有什么意义。
|
|
62
Technetiumer 2017-05-15 01:06:30 +08:00 via Android
这么一个牛逼的漏洞被这么一个有缺陷的勒索爆了
估计无数 xx 人员气的想骂人 离线勒索软件思路 AES 加密文件,RSA 公钥加密 AES 密钥,要求用户通过 tor 的.onion 网站提交被 RSA 加密的 AES 密钥文件,同时还要用户提交即将用于支付赎金的比特币钱包地址,这样能绑定用户和比特币钱包地址,然后要求用比特币付款,暗网网站后台程序自动验证,自动用 RSA 私钥解密 AES 密钥文件,向用户发放 AES 解密密钥,用户向解密器填入专属 AES 密钥解密。 全程被害电脑可以断网,赎回文件可以用其他电脑操作。 |
|
63
Domains 2017-05-15 01:15:03 +08:00
@Technetiumer 哈哈,纯内存,重启不就没事了? 病毒一定是要有实体文件的,你可以说在缓存里,但仍然是有实体,不然怎么生效? 病毒要生存要常驻(不然重启怎么办),甚至可以内核级、驱动级加载,或者可以欺诈隐藏,挂了了钩子对系统查询返回虚假值(典型就是 Rootkit )
而这个是 A+B 的套餐,即使 A 是可以因为永恒之蓝可以在目标机器以内存方式执行机器源码,但 B 仍然是实体文件程序。虽说这是个破坏型的病毒,只需要执行一次,不需要像木马那样希望开机常驻,但考虑到要实现勒索、解密功能,怎么可能光在内存就够了? 何况你也说了,它还有蠕虫的攻击特征,怎么会没有实体的程序文件? |
|
64
Technetiumer 2017-05-15 01:48:41 +08:00 via Android
@Domains 应该 A 加密后,再释放 B。
如果 B 去加密文件,那么运行在内存中的 A 无非就是个下载器,下载了个普通勒索程序 B,B 有了实体文件就会被杀软文件监控扫描。 如果 A 去加密,那么没有文件读写可以绕过杀软文件实时监控,加密后再释放解密和说明程序 B,这样到现在哪怕入库了只要没有内存扫描和主防的杀软也会被绕过。 我看这个卡饭帖子写的是 A 释放了 B,B 加密文件。 |
|
65
Domains 2017-05-15 02:29:23 +08:00
@Technetiumer 对啊,A 是下载器也是一个实体程序文件的,典型就是木马下载器+真正木马模式,木马下载器很小巧,10KB 就够了,然后再偷偷后台下载真正的木马并运行释放。所以,要拦截也是有办法的,IDM 就够了,因为 IDM 能拦截所有下载请求。
总之,你上面贴的那段太玄乎了 |
 |
66
msg7086 2017-05-15 04:48:13 +08:00
@Technetiumer 远程执行漏洞的话,应该是负责 SMB 的系统进程被植入了 A,要杀是一样能杀,只不过变成杀系统进程了而已……
的确这得靠内存查杀和行为防御…… |
 |
67
Trim21 2017-05-15 06:36:00 +08:00 via iPad
@yicun 自动更新修复过的漏洞不也爆发了。。。关自动更新的应该也不会有用了 Windows defender。。。
|
 |
68
acess 2017-05-15 08:38:34 +08:00 1
这个东西主要还是靠神洞 eternalblue 传播的吧?不知道这和直接双击会不会产生不同的结果。原帖作者是直接双击的,并不是另找一台虚拟机来感染它。
|
|
70
acess 2017-05-15 08:52:14 +08:00
@Technetiumer
“该病毒是先在本地生成加密密钥,加密完才上传至服务器,察觉的快的话,没有杀软的情况下也可能挽救文件。” 不知道这贴来自几楼? 按照目前的分析,这病毒加密一个文件换一个密钥,是严谨 /恶毒的表现。虽然它确实干了强行获取文件可写权限、忘记抹掉未加密原始文件等错误,但我觉得本地生成加密密钥真的是亮点……(但如果病毒没及时从内存中清除掉私钥,折腾那么多就完全没意义了,内存 dump 即可破之) |
 |
71
blues9 2017-05-15 09:01:07 +08:00
有没有什么靠谱的专杀工具?不想为了它而新装一个杀毒软件。
|
 |
73
liaoyaoheng 2017-05-15 09:53:04 +08:00
Windows Defender 呢?
|
 |
74
littleylv 2017-05-15 10:00:31 +08:00
数字公司的那个笑死我了
 |
 |
77
terence4444 2017-05-15 10:11:16 +08:00 via iPhone
@fate 哈哈哈哈哈
|
 |
78
lhw45202 2017-05-15 10:20:12 +08:00
这种测试没什么意义
|
 |
80
Quaintjade 2017-05-15 10:35:47 +08:00
|
 |
81
benjaminliangcom 2017-05-15 11:17:39 +08:00
怎么不测一下 windows defender
|
 |
82
md5 2017-05-15 11:27:50 +08:00 via Android 1
以前有 wd 吹,现在改吹火绒。
他们觉得一个安静不骚扰就是好杀软。 就是要一个所谓轻量级防护,图一个心理安慰。 |
 |
83
aev2ex 2017-05-15 11:40:50 +08:00
|
 |
84
Tink 2017-05-15 11:52:24 +08:00
360 这个洗白我给 0 分
|
 |
85
skylancer 2017-05-15 12:31:43 +08:00
@Domains 你又知道人家会用 HTTP 下载?退一步,就算用 HTTP 我用 Stream 你 IDM 拦给我看?
|
 |
86
xvx 2017-05-15 12:48:07 +08:00 via iPhone
我觉得毛豆的防火墙开了沙盒和 D+都能拦住了……
|
|
87
Domains 2017-05-15 13:29:37 +08:00
@skylancer 嗯,BT 这样本身 IDM 也不支持,但是这样的话,A 就要内置 BT 等的下载功能模块,A 的体积就变大了。这样 A+B 模式的话,应该类似于木马下载器+真木马这样模式,A 要保持小巧简洁,达到快速刺入对方系统的目的。
@acess 写进 MBR 启动层也是文件啊,也是写入了硬盘啊,只是不是一般所看到存在于 Windows 的文件罢了,而且,暗云加载进系统,会释放出诸如 xnfbase.dll、thpro32.dll 等文件,这是它要实际它那些功能的模块,怎么没有实体文件。MBR 空间有限,必然木马体积也少,功能就受限,写入 MBR 只是为了保持常驻。具体的功能还得新下载模块文件。这个上面也说过了,这个勒索界面不是提供一个测试解锁的,让你相信它能解,放心付款,既然有这些功能,怎么会没有实体文件实现,全部挂到内存不现实,在我看来太玄学了。 另,这也不是说 IDM 如何,只是说一种技巧,本身 IDM 也有局限的,是按扩展名归类的,.exe/.zip 等等才拦截,要是病毒换个扩展名也是没反应的,比如说早期 IE 有个漏洞,能把.css 文档错误执行,你把.exe 改成.css 挂到网页,用户打开网页就会中招。IDM 要有效就要把.css 扩展名加上。 |
|
88
acess 2017-05-15 13:47:37 +08:00 via Android
@Domains MBR Bootkit 完全可以做到一个文件不“落地”啊。
如果 MBR 是文件,那是不是能说一切皆文件…… |
 |
90
yylzcom 2017-05-15 13:51:47 +08:00
@xvx #86 另,以前我用 ss 的客户端,升级后配置文件一直被放沙盒里,导致每次开机都要修改端口才能使用,还以为是 ss 客户端的 bug,结果发现是毛豆的锅,一怒之下换火绒……
|
|
91
xvx 2017-05-15 13:57:10 +08:00 via iPhone
|
|
92
Domains 2017-05-15 14:27:36 +08:00
@acess 你仔细看看#60 的描述…… “整个过程都隐藏在内存里,不进行任何文件读写” …… 这特么是玄学,然后你再看勒索病毒,都有个提示窗口,告诉你已被勒索了,要是真内存运行,不留文件,那么重启一次不就没有这勒索窗口了?没了这窗口,怎么再次提醒对方要付款的 BTC 钱包收款地址?利益怎么最大化?
|
|
93
acess 2017-05-15 15:35:17 +08:00 via Android
@Domains
已经有 Petya 这个 MBR 里的勒索软件了。蓝屏强制重启,重启时伪装成磁盘检查,实际上是执行加密。 不过它用了被弱化的加密算法,被安全研究人员爆破了,即使不爆破,加密的也只有 MFT,找个 DiskGenius 仍然可以扫出文件来……说这些都跑题了,如果 WanaCry 也想到类似的思路了,可能只是编程麻烦一些,能产生的危害可能比现在还大。 |
 |
96
Chalice 2017-05-23 11:54:21 +08:00
@Domains。。算不上 0day 吧,官方早就发布补丁了,这次的测试也是直接跑程序,就算没发布补丁也没涉及到攻防对抗方面的漏洞啊。
|
|
99
coolcfan 2017-05-23 15:28:50 +08:00
@Chalice #98 哈哈哈,是的,所以我之前一直没有去用……
今天装的 2017 已经出到补丁 D 了,说是好了不少,然而 2018 已经在测试了。 |
 |
100
ivanlw 2017-07-06 13:08:08 +08:00
|
Select Language