来来来 火眼BUG来一发

m220011

难得金山有个我看的顺眼的工具  我才愿意砸砖给你

其实 本来过火眼就是个伪命题
火眼是个分析工具  又不是金山的启发  哈哈哈

=====================分割线============================

样本见

http://bbs.kafan.cn/forum.php?mo ... &fromuid=479244

请先将里面的 .cat 文件放一边

里面的exe  若文件名包含

1. 20130504@mHMJnw==@

复制代码

比如

1. 捷易通自动充值系统.exe                        20130504@mHMJnw==@.exe

复制代码

跑出行为见此

http://fireeye.ijinshan.com/anal ... c6c&type=1#full

================================分割线===================

若文件名不包含

1. 20130504@mHMJnw==@

复制代码

则跑不出上述行为  

================================分割线===================

若与.cat放在一起

一个远控又诞生了  见
http://fireeye.ijinshan.com/anal ... 5f1777bf2c71a3#full

================================分割线===================

啧啧啧
懂了么
先把文件名改了 上传 过火眼  再改回来  传播出去  OK了~~~


================================分割线===================


修复？  给用户上传相同哈希文件时  一个  重分析的选项即可  你看virustotal就是有的

================================分割线===================

再说一遍  过火眼就是个伪命题  这个不是来修复过火眼的  这个只是修复火眼分析不准确的问题

过火眼？  你们那个QQ的登陆账号万年不换  记住这一条就可以了  哈哈哈



================================分割线===================

最后砸个砖   火眼分析html的能力太弱。。。目测官方也没有加强的意思

蓝核

最后一句啥意思……

m220011

蓝核 发表于 2013-5-26 21:52
最后一句啥意思……

一个html分析了四个小时
最后毛都没分析出来
你说啥意思

流星街

我去上報一下哈！

蓝核

m220011 发表于 2013-5-26 21:55
一个html分析了四个小时
最后毛都没分析出来
你说啥意思

好吧……我一般就当沙盘用

流星街

昨天上報給工作人員了。早上他回覆了。

Lintel-TR

流星街 发表于 2013-5-27 10:10
昨天上報給工作人員了。早上他回覆了。

不涂QQ涂昵称。。。

流星街

Lintel-TR 发表于 2013-5-27 11:43
不涂QQ涂昵称。。。

漏了...

m220011

流星街 发表于 2013-5-27 10:10
昨天上報給工作人員了。早上他回覆了。

  这货没懂我的意思   那个白加黑的远控的白  其实也是释放器  签名被盗罢了

我的主旨就不是说要过火眼。。。火眼需要过吗？本来 过火眼 就是个伪命题

这个只是旨在修复火眼在个别情况下分析不准确的问题

我给的建议是

给用户上传相同哈希文件时  一个  重分析的选项即可

重分析 也有助于在火眼升级之后 用户自主修正那些不正确的报告

流星街

m220011 发表于 2013-5-27 15:38
这货没懂我的意思   那个白加黑的远控的白  其实也是释放器  签名被盗罢了

我的主旨就不是说 ...

我在幫你轉達吧...