集结号木马

显示全部楼层 · 发表于 2016-12-31 14:01:58

钓鱼网址
http://www.jjhgame.work:82/

下载链接
http://www.jihgame.com.xt818.com.cn/jihgame.exe

备份地址
https://share.weiyun.com/5342c573f85534c72062cfddd39aed21

安装过程中篡改dns

安装完毕链接后门地址

下面这些dll是被恶意篡改过，并把原来的dll改名

木马样本

显示全部楼层 · 发表于 2016-12-31 14:06:51

这个好像很难防御吧

显示全部楼层 · 发表于 2016-12-31 14:14:21

瑞星云终端，3样本全miss，安装包无视

显示全部楼层 · 发表于 2016-12-31 14:16:14

360 ns扫描miss 万物杀 2个

显示全部楼层 · 发表于 2016-12-31 16:13:42

q185123258 发表于 2016-12-31 14:16
360 ns扫描miss 万物杀 2个

安装游戏，然后运行，看看诺顿还能拦截不，如果不行，这个下载智能分析对这类样本就没意义了

显示全部楼层 · 发表于 2016-12-31 16:14:04

墨家小子发表于 2016-12-31 14:06
这个好像很难防御吧

确实，这东西全靠人为对抗

显示全部楼层 · 发表于 2016-12-31 16:30:17

vm001 发表于 2016-12-31 16:14
确实，这东西全靠人为对抗

的确，虚拟机运行一下，这草蛋比那个净广更恶心；尤其是改DNS那一步

纯粹要用HIPS和防火墙来手动拦截。

显示全部楼层 · 发表于 2016-12-31 16:54:56

vm001 发表于 2016-12-31 16:13
安装游戏，然后运行，看看诺顿还能拦截不，如果不行，这个下载智能分析对这类样本就没意义了

都说了万物杀万物杀我一般都是放过的（去隔离区还原）双击的话找 @胖福吧

显示全部楼层 · 发表于 2016-12-31 16:55:13

毒霸扫描miss

显示全部楼层 · 发表于 2016-12-31 18:11:18

sep14 miss

[病毒样本] 集结号木马