File name: muxu.exe Detection ratio: 10 / 62 AG官方确认样本突破某种设定下的防御

墨家小子

https://mega.nz/#!JbJHFILI!idNyID-wEe5EASltiBBUq9LkKvsKhlqRAMfvYZJdvqQ

Baidu	Win32.Trojan.WisdomEyes.16070401.9500.9865	20170714
CrowdStrike Falcon (ML)	malicious_confidence_100% (D)	20170710
Cylance	Unsafe	20170715
Endgame	malicious (high confidence)	20170713
Invincea	heuristic	20170607
McAfee-GW-Edition	BehavesLike.Win32.FakeAlertSecurityTool.fc	20170715
Qihoo-360	HEUR/QVM41.1.7FE0.Malware.Gen	20170715
Symantec	ML.Attribute.HighConfidence	20170714
TrendMicro	Mal_SageCrypt-1h	20170715
TrendMicro-HouseCall	Mal_SageCrypt-1h	20170715

感谢2009大佬的搬运提交AG官方

墨家小子

果然HMPA会拦

墨家小子

貌似注入explorer msexec 带进来一大堆东西AG防不住这个ESET 内存扫描 报这个Operating memory 看来没跑了


AG如下设置，防御失败，启动项被添加，但注销之后，AG恢复Protected模式，样本启动被拦截……万幸~

ericdj

默哀度娘的WisdomEyes一分钟。。。。。。

900703

Cylance 你終於發力了

aboringman

双击ESET AMS击杀之，木马下载者。

[mw_shl_code=css,true]Time;Scanner;Object type;Object;Threat;Action;User;Information;Hash;First seen here
2017/7/15 20:53:58;Advanced memory scanner;file;Operating memory ? C:\Users\abori\Desktop\muxu.exe;a variant of Win32/TrojanDownloader.Agent.DEA trojan;cleaned;;;49B74EEF65B34B3D87ABEE6CDAA189154BBD66E5;
[/mw_shl_code]

ccboxes

墨家小子 发表于 2017-7-15 20:50
貌似注入explorer msexec 带进来一大堆东西AG防不住这个ESET 内存扫描 报这个Operating memory 看来 ...

ESET的AMS不是基于行为的，这个Operating memory意思是在内存中发现病毒。

墨家小子

ccboxes 发表于 2017-7-15 21:04
ESET的AMS不是基于行为的，这个Operating memory意思是在内存中发现病毒。

谁的内存呢？

ccboxes

墨家小子 发表于 2017-7-15 21:04
谁的内存呢？

就是这个进程自己的内存啊。AMS的原理是实时扫描每一个进程的内存数据，如果是在explorer的内存中发现病毒就不会杀本体了。
看5楼的结果，明显是这个病毒进行了自加密或者混淆，逃过了文件扫描的查杀，然后在内存中解密本体时被AMS查到。

学雷锋做人

火绒Kill

B100D1E55

ccboxes 发表于 2017-7-15 21:04
ESET的AMS不是基于行为的，这个Operating memory意思是在内存中发现病毒。

执行前扫到就不算行为了？