五月清澈之夜 发表于 2024-12-13 00:11

恶意代码在线分析的 2个问题

1、奇安信报告文章:https://mp.weixin.qq.com/s/qQw1DXE25Gkz_P8pEPVaHg
样本下载:https://funami.lanzoue.com/iyt482hyfq1g

奇安信报道这5个样本包含病毒,而上传到安天在线分析都只能对“5c6b8c8f0”这个样本查出是威胁,其余4个:3个显示安全,1个显示可疑,并且其余4个的国内外引擎只有很少量有检出的(仅奇安信、阿里、腾讯都检出),绝大部分都未检出。对于这种显示“安全”但别的引擎(哪怕只有1个引擎)有检出的样本,安天是否会加以分析确认?

2、如下图,显示安全但圈内显示“远控行为”“APT组织关联”,该行为是指单纯的存在“远控行为”或“与APT组织关联”但没威胁的意思吗?

caoqiong 发表于 2024-12-13 09:33

问题已收到。包括上一帖,我联系我们专业技术人员稍后作答。

tongyong 发表于 2024-12-13 15:18

非常感谢您提出的宝贵问题,对于您提出的这几个文件,我们在12号的时候也捕获到了对应文件进行分析,但由于特征出库以及产品升级之间存在一定时间差,所以导致在13号凌晨时仍然无法检测

五月清澈之夜 发表于 2024-12-13 21:11

tongyong 发表于 2024-12-13 15:18
非常感谢您提出的宝贵问题,对于您提出的这几个文件,我们在12号的时候也捕获到了对应文件进行分析,但由于 ...

感谢解答!

上面第2个问题:显示安全但圈内显示“远控行为”“APT组织关联”,这个反差感不小,该样本是指单纯的存在“远控行为”或“与APT组织关联”但没威胁的意思吗?

tongyong 发表于 2024-12-16 09:16

感谢您的建议,您提出的这个问题确实会为用户带来困惑,针对这个问题研发已经分析讨论,后续会优化改进这个问题
页: [1]
查看完整版本: 恶意代码在线分析的 2个问题