样本集奉上_16

显示全部楼层 · 发表于 2018-7-9 21:40:59

www-tekeze 发表于 2018-7-9 21:27
你的对 (20) 报勒索，我刚又试过，7、8.1两个系统里火绒都不报啊。。

喔，这个样本太大了，不知火绒收样本有没有文件大小限制？

显示全部楼层 · 发表于 2018-7-9 21:42:35

安全守护者发表于 2018-7-9 21:34
比如，把干扰字符串：
改为：

那你也不能老玩这种变种吧？人家有流式更新，很快又把你拉黑了。。

显示全部楼层 · 发表于 2018-7-9 21:53:03

www-tekeze 发表于 2018-7-9 21:42
那你也不能老玩这种变种吧？人家有流式更新，很快又把你拉黑了。。

I.可以搞Trojan Downloader啊，
1.检测智量，如果有弹出窗口要求用户关闭。
2.调出卸载程序，模拟点击进行卸载
II.本体是一个病毒生成器，随机生成字符，加壳，然后运行

显示全部楼层 · 发表于 2018-7-9 21:54:00

小飞侠.net 发表于 2018-7-9 21:40
喔，这个样本太大了，不知火绒收样本有没有文件大小限制？

文件大小限制？不会吧，提取特性和文件大小不是正比关系啊，行为特征可能多一点，但简单拉黑提取的主要是哈希特征，比如MD5的话，不都是32位字符串么，SHA1等会多些。

显示全部楼层 · 发表于 2018-7-9 22:05:56

安全守护者发表于 2018-7-9 21:53
I.可以搞Trojan Downloader啊，
1.检测智量，如果有弹出窗口要求用户关闭。
2.调出卸载程序，模拟点击 ...

你这也算是对智量发起APT攻击了吧，服你了，等着智量官人联系你吧。。

显示全部楼层 · 发表于 2018-7-9 22:09:19

www-tekeze 发表于 2018-7-9 22:05
你这也算是对智量发起APT攻击了吧，服你了，等着智量官人联系你吧。。

Hi，

tak for din test, vi vil løse dette problem, tak.

------------------ Original ------------------
From:  "huorong"<********@aliyun.com>;
Date:  Fri, Jul 6, 2018 08:01 PM
To:  "support"<support@wisevector.com>;
Subject:  一つの問題を発見する

北京智量科学技術有限会社：
こんにちは。
貴社の智量端末安全ソフトに深刻な欠陥が存在する.プロセスを簡単に終了し、その製品を削除することができます。
江戸川*******
2018-7-6

显示全部楼层 · 发表于 2018-7-9 22:16:58

本帖最后由 www-tekeze 于 2018-7-9 22:20 编辑

安全守护者发表于 2018-7-9 22:09
Hi，

tak for din test, vi vil løse dette problem, tak.

也到是，修复bug后人家会感激你的，帮助完善产品。。

额，还准备盗用火绒的域名。。。

显示全部楼层 · 发表于 2018-7-9 22:31:51

安全守护者发表于 2018-7-9 21:34
比如，把干扰字符串：
改为：

这哪是干扰字符串。。这是证书公钥

显示全部楼层 · 发表于 2018-7-9 22:33:06

www-tekeze 发表于 2018-7-9 22:16
也到是，修复bug后人家会感激你的，帮助完善产品。。额，还准备盗用火绒的域名。。。

话说为什么要用丹麦语回复？

显示全部楼层 · 发表于 2018-7-9 22:36:56

小飞侠.net 发表于 2018-7-9 21:40
喔，这个样本太大了，不知火绒收样本有没有文件大小限制？

(20) 号样本不大啊，才160K，双击后不会联网，也没触发火绒的系统加固项，但释放了个System.dll的文件，等了好一阵也没勒索行为，不过2楼的ESET报的也是Filecoder，不懂了，等大神来解释下。。

[病毒样本] 样本集奉上_16

本帖子中包含更多资源