查看: 2587|回复: 39
收起左侧

[可疑文件] File name: muxu.exe Detection ratio: 10 / 62 AG官方确认样本突破某种设定下的防御

[复制链接]
墨家小子
发表于 2017-7-15 20:46:08 | 显示全部楼层 |阅读模式
本帖最后由 墨家小子 于 2017-7-16 10:36 编辑

https://mega.nz/#!JbJHFILI!idNyID-wEe5EASltiBBUq9LkKvsKhlqRAMfvYZJdvqQ


BaiduWin32.Trojan.WisdomEyes.16070401.9500.986520170714
CrowdStrike Falcon (ML)malicious_confidence_100% (D)20170710
CylanceUnsafe20170715
Endgamemalicious (high confidence)20170713
Invinceaheuristic20170607
McAfee-GW-EditionBehavesLike.Win32.FakeAlertSecurityTool.fc20170715
Qihoo-360HEUR/QVM41.1.7FE0.Malware.Gen20170715
SymantecML.Attribute.HighConfidence20170714
TrendMicroMal_SageCrypt-1h20170715
TrendMicro-HouseCallMal_SageCrypt-1h20170715


感谢2009大佬的搬运提交AG官方



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2017-7-16 18:57:02 | 显示全部楼层
果然HMPA会拦


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2017-7-15 20:50:31 | 显示全部楼层
本帖最后由 墨家小子 于 2017-7-15 21:08 编辑

貌似注入explorer msexec 带进来一大堆东西AG防不住这个ESET 内存扫描 报这个Operating memory 看来没跑了


AG如下设置,防御失败,启动项被添加,但注销之后,AG恢复Protected模式,样本启动被拦截……万幸~

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ericdj
发表于 2017-7-15 20:52:04 | 显示全部楼层
默哀度娘的WisdomEyes一分钟。。。。。。

评分

参与人数 1人气 +1 收起 理由
墨家小子 + 1 默泥煤

查看全部评分

900703
发表于 2017-7-15 20:53:04 来自手机 | 显示全部楼层
Cylance 你終於發力了

评分

参与人数 1人气 +1 收起 理由
墨家小子 + 1 截图贴上来呗

查看全部评分

aboringman
发表于 2017-7-15 20:57:18 | 显示全部楼层
双击ESET AMS击杀之,木马下载者。

[CSS] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
Time;Scanner;Object type;Object;Threat;Action;User;Information;Hash;First seen here
2017/7/15 20:53:58;Advanced memory scanner;file;Operating memory ? C:\Users\abori\Desktop\muxu.exe;a variant of Win32/TrojanDownloader.Agent.DEA trojan;cleaned;;;49B74EEF65B34B3D87ABEE6CDAA189154BBD66E5;
ccboxes
发表于 2017-7-15 21:04:05 | 显示全部楼层
墨家小子 发表于 2017-7-15 20:50
貌似注入explorer msexec 带进来一大堆东西AG防不住这个ESET 内存扫描 报这个Operating memory 看来 ...

ESET的AMS不是基于行为的,这个Operating memory意思是在内存中发现病毒。
墨家小子
 楼主| 发表于 2017-7-15 21:04:36 | 显示全部楼层
ccboxes 发表于 2017-7-15 21:04
ESET的AMS不是基于行为的,这个Operating memory意思是在内存中发现病毒。

谁的内存呢?
ccboxes
发表于 2017-7-15 21:09:24 | 显示全部楼层

就是这个进程自己的内存啊。AMS的原理是实时扫描每一个进程的内存数据,如果是在explorer的内存中发现病毒就不会杀本体了。
看5楼的结果,明显是这个病毒进行了自加密或者混淆,逃过了文件扫描的查杀,然后在内存中解密本体时被AMS查到。

评分

参与人数 2人气 +2 收起 理由
aboringman + 1 正解!
墨家小子 + 1 感谢解答: )

查看全部评分

学雷锋做人
发表于 2017-7-15 21:20:15 | 显示全部楼层
火绒Kill

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
B100D1E55
发表于 2017-7-15 21:51:01 | 显示全部楼层
ccboxes 发表于 2017-7-15 21:04
ESET的AMS不是基于行为的,这个Operating memory意思是在内存中发现病毒。

执行前扫到就不算行为了?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-9-24 16:11 , Processed in 0.108257 second(s), 9 queries , MemCache On.

快速回复 返回顶部 返回列表