远控病毒样本！本人决定追随作者脚步更新（将不定时更新免杀）2016.9.10更新！

pal家族

vm001 发表于 2016-9-11 12:40
win10上他格不了盘，他没有管理员权限

有道理~

vm001

驭龙 发表于 2016-9-11 12:41
我刚才只是双击一下，所以没有监控行为，哈，那个SYNXXXX什么的好像有一两个EXE吧？没注意，哈

一个是木马一个是白文件。。利用利用lnk启动vbs，在用bvs启动白文件，读取配置文件来启动木马

驭龙

vm001 发表于 2016-9-11 12:45
一个是木马一个是白文件。。利用利用lnk启动vbs，在用bvs启动白文件，读取配置文件来启动木马

嗯，差不多是这样，比较好玩的，只是我太懒，基本上不监视样本行为，就是简单测测主防

vm001

驭龙 发表于 2016-9-11 12:49
嗯，差不多是这样，比较好玩的，只是我太懒，基本上不监视样本行为，就是简单测测主防

这东西不用特意去监视他行为。。。一看文件一般就知道他大概的运行流程了。。
这个启动方式是针对360做那个防御lnk启动白+黑游戏木马的规则做了一点修改。。
360拦截之前那类白+黑，添加了一条规则，禁止lnk启动cmd，结果这个样本马上换了一下启动的调用程序就把360过了。。你说360菜不。。

驭龙

vm001 发表于 2016-9-11 12:56
这东西不用特意去监视他行为。。。一看文件一般就知道他大概的运行流程了。。
这个启动方式是针对360做 ...

启动流程我是看了的，不过我是说的Aegis依据什么拦截的，在这个关键行为，我是没有监控的，哈。

刚才用大蜘蛛测一下，发现公认的智能防火墙-诺顿，居然比不上公认垃圾的蜘蛛防火墙，因为诺顿根本没有询问synXXXXX出站。

双击过大蜘蛛的DPH，因为DPH不拦截这种威胁。

看一个好的防火墙，是老鸟对付白加黑比较有效的方法


允许第一个，出现真正的连接地址，第一个是试探啊，哈哈


服务端不鸟我，没有数据

vm001

驭龙 发表于 2016-9-11 13:16
启动流程我是看了的，不过我是说的Aegis依据什么拦截的，在这个关键行为，我是没有监控的，哈。

刚才 ...

第一个不是试探，是腾讯微博的上线地址，
程序先要访问作者或者木马使用者的腾讯微博来获取服务端IP，获取之后开始请求链接.。
防火墙的拦截方式不同，不能说蜘蛛的比诺顿的强多少。。
比如程序发起请求链接（其实这时候的没有链接的）有的墙可以在这个时候做一个拦截。。
然后等待服务端应答，这也是个握手包（就是同意链接）拦截点也可以放在这里
最后程序收到应答数据（就是服务端的握手包），然后开始链接接收数据（这时候才是真正的链接了）这里也是一个拦截点，这就要看拦截的是哪一步。。。

驭龙

vm001 发表于 2016-9-11 13:32
第一个不是试探，是腾讯微博的上线地址，
程序先要访问作者或者木马使用者的腾讯微博来获取服务端IP， ...

其实说实话诺顿的防火墙，我双击很多远控和白加黑和注入，只要过了SONAR和IPS，防火墙基本上没有发话过，这个是真的，就算有数据流也没有反应。

当然我更喜欢拦截点靠前的，真心话，现在好的防火墙越来越少了

vm001

驭龙 发表于 2016-9-11 13:40
其实说实话诺顿的防火墙，我双击很多远控和白加黑和注入，只要过了SONAR和IPS，防火墙基本上没有发话过， ...

这应该是他的微博

驭龙

vm001 发表于 2016-9-11 14:40
这应该是他的微博

注册日期不错，哈哈

bbszy

咖啡kill com文件