收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 DarkHydrus针对中东政府发起攻击部分样本
123456下一页
返回列表 发新帖
楼主: 275751198
 收起左侧

[病毒样本] DarkHydrus针对中东政府发起攻击部分样本

[复制链接]
ELOHIM
发表于 2018-8-6 22:40:42 | 显示全部楼层
B100D1E55 发表于 2018-8-6 22:34
是啊,你用记事本打开看就知道,就是网页上显示一个loading的字样,背后js脚本替换成恶意域名下的ps1链接 ...

真正恶意的是 js 还是 ps1?
回复

举报

B100D1E55
发表于 2018-8-6 22:43:28 | 显示全部楼层
ELOHIM 发表于 2018-8-6 22:40
真正恶意的是 js 还是 ps1?

是那个已经下载不下来的ps1,js顶多算loader,本身没有恶意成分
回复

举报

ELOHIM
发表于 2018-8-6 22:46:40 | 显示全部楼层
B100D1E55 发表于 2018-8-6 22:43
是那个已经下载不下来的ps1,js顶多算loader,本身没有恶意成分

所以,请b神跟Karna 神探讨吧。
我特意开了虚拟机,还是下载不下来。。

好累。
我睡觉了。。。

——————————————


微软继续提示 downloader..

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

ELOHIM
发表于 2018-8-6 22:52:47 | 显示全部楼层
B100D1E55 发表于 2018-8-6 22:43
是那个已经下载不下来的ps1,js顶多算loader,本身没有恶意成分

你说的我都理解。

我不知道你理不理解k神把一段html代码放到ps1执行来执行去提示出错后的沮丧。
我不知道你理不理解k神把一个http链接放到ps1执行来执行去提示出错后的沮丧。

拜拜,b神。今天是最心累的一天。

回复

举报

B100D1E55
发表于 2018-8-6 22:57:35 | 显示全部楼层
本帖最后由 B100D1E55 于 2018-8-6 23:00 编辑
ELOHIM 发表于 2018-8-6 22:52
你说的我都理解。

我不知道你理不理解k神把一段html代码放到ps1执行来执行去提示出错后的沮丧。

其实这个事情本质是:

楼主的样本是一个非常简单的js loader,这个样本报毒和不报毒都可以算合理:
1) 因为这个loader内含已知恶意链接,所以对loader报毒可能是合理的。最简单的方法就是你把那个文件里链接改掉后看看微软还报不报,如果还报的话则说明对downloader检测过分激进,不报的话算是合理入库
2)一些厂商觉得报这种简单loader太generic,所以选择对下载下来的ps1报毒,所以这种情况下不入库loader也是合理的
3)更别提有些厂商可以只针对loader加载的URL拉黑……
对URL或者loader拉黑的主要问题在于loader指向的文件可以变化。我今天把链接指向黑文件,明天可能指向白文件就成了误报。很多网站被误报也是因为曾有过被入侵挂马的历史然后被杀软拉黑,之后解决后杀软却没及时拉白……所以我觉得拉黑URL这种是应急手段,但不能作为首要检测手段


评分

参与人数 1人气 +1 收起 理由
275751198 + 1 感谢解答: )

查看全部评分

回复

举报

Picca
发表于 2018-8-6 23:08:41 | 显示全部楼层
ELOHIM 发表于 2018-8-6 22:52
你说的我都理解。

我不知道你理不理解k神把一段html代码放到ps1执行来执行去提示出错后的沮丧。

执行那个只是在迎合你的说法,我一开始就已经说了,这个东西看起来就像个HTML,是楼主错误的把它给了ps1的后缀,说成是powershell的。我是根本没学过html的,语气不肯定很正常。
对于这个文件是个html的说法,你从头到尾也没做出任何肯定回复,后面又叫我去执行这个脚本,你觉得我会当成哪个脚本??? 是楼主的这个,还是这个HTML文件里下载的那个???
你执行的命令都是html,怎么会执行呢?
你把那个ps1下载下来,用文本编辑器打开,复制出来,放到powershell里面,回车,试一下。

回复

举报

Picca
发表于 2018-8-6 23:12:47 | 显示全部楼层
ELOHIM 发表于 2018-8-6 22:52
你说的我都理解。

我不知道你理不理解k神把一段html代码放到ps1执行来执行去提示出错后的沮丧。
你执行的命令都是html,怎么会执行呢?
你把那个ps1下载下来,用文本编辑器打开,复制出来,放到powershell里面,回车,试一下。

哪个ps1,楼主这个,和恶意链接下载的那个,都叫winupdate.ps1。你从头到尾分清了吗,说清了吗?
回复

举报

www-tekeze
发表于 2018-8-6 23:18:31 | 显示全部楼层
B100D1E55 发表于 2018-8-6 22:57
其实这个事情本质是:

楼主的样本是一个非常简单的js loader,这个样本报毒和不报毒都可以算合理:

这个解释我服。。
回复

举报

Picca
发表于 2018-8-6 23:18:48 | 显示全部楼层
ELOHIM 发表于 2018-8-6 22:52
你说的我都理解。

我不知道你理不理解k神把一段html代码放到ps1执行来执行去提示出错后的沮丧。

而且我一开始就把这个html文件所有语句都列出来了,截了卡巴下载恶意链接的那个ps1,然后拦截的图。你是选择性的忽视吗?
回复

举报

Picca
发表于 2018-8-6 23:50:58 | 显示全部楼层
这次争论,本质上还是自不懂HTML语言,把“楼主误标HTML成ps1”这种显而易见的错误拿出来说。其实ELOHIM 在13楼就已经说明这个文件的意图,并默认我知道楼主的这个错误。后面的争论都因为13楼那句“大神”的讥讽,自己心胸还是不够开阔,以后我还是安安心心测双击吧,绝不再和别人争论这些了。以后碰到那种明明比自己懂得多,但上来就讥讽的人,我自觉绕道
回复

举报

下一页 »
123456下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-26 08:41 , Processed in 0.097388 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表