查看: 1278|回复: 17
收起左侧

[可疑文件] Detection ratio: 9 / 62 貌似突破AG禁飞区防御 卡巴云测试时无反应

[复制链接]
墨家小子
发表于 2017-7-17 19:57:24 | 显示全部楼层 |阅读模式
本帖最后由 墨家小子 于 2017-7-17 20:20 编辑

https://mega.nz/#!hPpC1BYS!mYqtu ... cacae-v_l4avxPrfiRU

@Tomin2009 帮我上报AG官方吧 win10 X64 设置跟上次突破AG一样

就看到样本进程启动了rundll32(CPU占用60%多,貌似rundll32被注入了)和卡巴C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Ransomware Tool for Business\anti_ransom.exe(CPU占用20%多)这两个进程占满CPU了……估计在比拼内力

AVwareLooksLike.Win32.Crowti.b (v)20170717
CylanceUnsafe20170717
Endgamemalicious (moderate confidence)20170713
Invinceaheuristic20170607
Qihoo-360HEUR/QVM07.1.8AF3.Malware.Gen20170717
RisingMalware.Obscure!1.9C59 (classic)20170717
SentinelOne (Static ML)static engine - malicious20170516
SymantecML.Attribute.HighConfidence20170717
VIPRELooksLike.Win32.Crowti.b (v)20170717


https://www.virustotal.com/en/fi ... nalysis/1500292237/

墨家小子
 楼主| 发表于 2017-7-17 20:23:28 | 显示全部楼层
greenfinger168 发表于 2017-7-17 20:22
请教楼主给的链接要怎么下载?是不是需要FQ呢?

谢谢!

试试这个 https://www.upload.ee/files/7237 ... 0576305401.exe.html
墨家小子
 楼主| 发表于 2017-7-18 08:36:09 | 显示全部楼层
本帖最后由 墨家小子 于 2017-7-18 08:41 编辑

刚才查了一下,卡巴云终于拦截了https://www.virustotal.com/en/file/51b1586d562bcb46b00aff659e30f1d1a6bf25a29705ff1c89649b1b89affa4a/analysis/1500337823/
SHA256:51b1586d562bcb46b00aff659e30f1d1a6bf25a29705ff1c89649b1b89affa4a
File name:faktura_nr_0073540584027482085619080576305401.exe
Detection ratio:28 / 63
Analysis date:2017-07-18 00:30:23 UTC ( 0 minutes ago )


单独测试AppGuard,拦截到这样一个行为(之后再没有别的异常行为,貌似AG昨天跟Kaspersky Anti-Ransomware Tool for Business 2.0.0.176冲突了):
07/18/17 08:27:24 Prevented <Application MFC ChartDemo> from writing to memory of <Shell Infrastructure Host>.






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Dolby123
发表于 2017-7-17 20:12:24 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2017-7-17 20:18:27 | 显示全部楼层
Dolby123
发表于 2017-7-17 20:20:00 | 显示全部楼层

吃腻了,怎么办。。。求突破EMSI防御
墨家小子
 楼主| 发表于 2017-7-17 20:21:31 | 显示全部楼层
Dolby123 发表于 2017-7-17 20:20
吃腻了,怎么办。。。求突破EMSI防御

EMSI跟ESET的hips拦截修改内存不会是一样的吧,我测试样本也算多了,就没看到过能突破这两个的
greenfinger168
发表于 2017-7-17 20:22:12 | 显示全部楼层
请教楼主给的链接要怎么下载?是不是需要FQ呢?

谢谢!
引领四基生活
发表于 2017-7-17 20:52:12 | 显示全部楼层
greenfinger168 发表于 2017-7-17 20:22
请教楼主给的链接要怎么下载?是不是需要FQ呢?

谢谢!

http://m.xiazaiba.com/html/44540.html
自行查毒
ziyerain2015
发表于 2017-7-17 20:53:43 | 显示全部楼层
2345果然第一差!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2017-7-17 21:22:17 | 显示全部楼层
到现在卡巴云还没反应过来 会不会中暑了ESET都报了
https://www.virustotal.com/en/fi ... nalysis/1500297465/
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-9-25 21:27 , Processed in 0.105349 second(s), 8 queries , MemCache On.

快速回复 返回顶部 返回列表