真-xiaoba【 自制新病毒-2018-6-8】

B100D1E55

www-tekeze 发表于 2018-6-9 01:46
补充下：磁盘上的svchost.exe没有被注入，但调入内存后被注入是有可能的，不过火绒系统加固里有“关键系 ...

其他的不评论，建议以后双击这类样本做点网络混淆，否则黑客那头已经把你IP记下了，说不定省市小区都知道了

xique666

火绒kill

PercyDan

咖啡kill

Luca.l

www-tekeze

popu111 发表于 2018-6-9 03:15
数签hash不通过，下一个

绝大部分病毒木马都没有合法数签，这个样本能利用数签，有可能某些对数签无脑放行的就被过了，不过字节不同哈希肯定不同，有足够白名单库还是可以快速拉黑。。。
火绒不报那我只能来点人脑判断了，总比杀软不报便一筹莫展要强吧。。

www-tekeze

www-tekeze 发表于 2018-6-9 10:33
绝大部分病毒木马都没有合法数签，这个样本能利用数签，有可能某些对数签无脑放行的就被过了，不过字节不 ...

磁盘文件被篡改应该称为感染，调入内存后被篡改才能称为注入，之前说法不严谨，不过都只是玩杀软的爱好者而已，并非敲代码的程序猿，没必要太较真。额，看来我该换个卡巴、诺顿或BD？  哈哈，不稀罕，继续用我的火绒吧。。

www-tekeze

B100D1E55 发表于 2018-6-9 04:43
其他的不评论，建议以后双击这类样本做点网络混淆，否则黑客那头已经把你IP记下了，说不定省市小区都知道 ...

这个之前确实没注意，总感觉是通过路由上网，双击通常也是在虚拟机里，还是比较安全的，但这个样本既然在我机器上跑开了，对方想拿到我的真实IP也就容易了，但用工具ping一下，也可以得到无数的IP，我只是很普通的一个电脑用户，真正的Hacker高手不会针对我下手吧，没任何利益啊。。。
但你提醒的安全隐患以后还是得注意，感谢提醒！  

www-tekeze

xique666 发表于 2018-6-9 06:52
火绒kill

？？  火绒没有云，每天才一更，这么快就能kill了？  

a445441

微点拦截衍生物

安全守护者

www-tekeze 发表于 2018-6-8 23:48
明白了，不是调用svchost.exe，而是假冒这个系统文件，只是名称相同而已！

进程详情
共分析了2个进程
Tencentdl.exe(PID:3296)
"C:\Users\vbccsb\AppData\Local\Temp\Tencentdl.exe"
svchost.exe(PID:3436)
C:\Windows\system32\svchost.exe