File name: ViaFile.EXE Detection ratio: 11 / 62 注入过AG防御

显示全部楼层 · 发表于 2017-7-18 20:44:37

https://mega.nz/#!YGAEUApI!Xxjig ... 88wCfiVQAGgtWc6v5kM

https://www.virustotal.com/en/fi ... nalysis/1500381638/

07/18/17 20:37:47 Prevented <.NET Framework installation utility> from writing to <\registry\user\s-1-5-21-882639051-1261622828-682048811-1001\software\microsoft\windows\currentversion\run>.

07/18/17 20:37:47 Prevented process <ViaFile.EXE> from writing to <c:\windows\microsoft.net\framework\v2.0.50727\config\security.config.cch.7680.1204640>.

07/18/17 20:37:36 Prevented process <adcf9b96922537480328938c7fcc9eb9e9f65c4d304336be22c1da0852f808db.bin.exe> from writing to <c:\windows\microsoft.net\framework\v2.0.50727\config\security.config.cch.3992.1192484>.

07/18/17 20:37:26 Prevented process <Microsoft 管理控制台> from writing to <c:\windows\system32\eventvwr.msc>.

显示全部楼层 · 发表于 2017-7-18 20:57:03

本帖最后由墨家小子于 2017-7-18 21:02 编辑

注销前样本已经添加启动 @Tomin2009

注销，AG转为Protected模式，拦截样本启动：
07/18/17 20:48:49 Prevented process <viafile.exe | c:\windows\system32\svchost.exe> from launching from <c:\users\用冈本就是这么自豪\appdata\roaming\viafolder>.

07/18/17 20:47:49 Prevented process <viafile.exe | c:\windows\system32\svchost.exe> from launching from <c:\users\用冈本就是这么自豪\appdata\roaming\viafolder>.

显示全部楼层 · 发表于 2017-7-18 20:53:14

阻止后程序奔溃退出，系统进程防注入这块还是有遗漏

显示全部楼层 · 发表于 2017-7-18 21:06:34

BDF ATC杀

显示全部楼层 · 发表于 2017-7-18 23:31:20

卡巴殺掉了

显示全部楼层 · 发表于 2017-7-18 23:52:16

Heur.AdvML.A

显示全部楼层 · 发表于 2017-7-19 12:24:25

下载完，ESS直接杀掉

显示全部楼层 · 发表于 2017-7-19 13:36:29

Immunet Miss

F-Secure Kill

显示全部楼层 · 发表于 2017-7-19 13:42:23

EMSI

[可疑文件] File name: ViaFile.EXE Detection ratio: 11 / 62 注入过AG防御

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

[可疑文件] File name: ViaFile.EXE Detection ratio: 11 / 62 注入 过AG防御

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

[可疑文件] File name: ViaFile.EXE Detection ratio: 11 / 62 注入过AG防御