Backdoor/FakeExtent

显示全部楼层 · 发表于 2018-12-22 13:41:35

本帖最后由落华无痕于 2018-12-22 13:43 编辑

SUARP-BIGNUM 发表于 2018-12-22 13:31
@落华无痕
应该3个只是进了风险库

给看下这个。

3个文件都改了这个地方，就是下面提示。

把上面十六进制那个改回来，提示

然后，我对修改过的文件进行扫描，提示如下，x64那个没报，因为十六进制我还原了。

显示全部楼层 · 发表于 2018-12-22 13:45:26

本帖最后由落华无痕于 2018-12-22 13:49 编辑

落华无痕发表于 2018-12-22 13:41
给看下这个。

神奇，现在再扫描一遍，又正常了，提示安全。

原来如此。

显示全部楼层 · 发表于 2018-12-22 14:22:59

我看了没有改呀

显示全部楼层 · 发表于 2018-12-22 14:29:38

@ 落华无痕单个下载报毒名是：木马，第一次见呢！

显示全部楼层 · 发表于 2018-12-22 14:52:17

落华无痕发表于 2018-12-22 13:41
给看下这个。

现在不报了，你试试看

显示全部楼层 · 发表于 2018-12-22 15:06:54

SUARP-BIGNUM 发表于 2018-12-22 14:52
现在不报了，你试试看

下载报毒，右键扫描还是安全。我上面是自己改了十六进制，上传，再下载就不报，估计直接md5云。

显示全部楼层 · 发表于 2018-12-22 15:11:06

落华无痕发表于 2018-12-22 15:06
下载报毒，右键扫描还是安全。我上面是自己改了十六进制，上传，再下载就不报，估计直接md5云。

应该是pe头的判断问题吧，现在拉黑了基本上对这个样本怎么变形基本都没用了。最近QVM报好多，因为进行了多方面优化

显示全部楼层 · 发表于 2018-12-22 16:05:57

@落华无痕我问了一下，是扫描逻辑的问题，周一统一处理

显示全部楼层 · 发表于 2018-12-22 16:26:31

SUARP-BIGNUM 发表于 2018-12-22 16:05
@落华无痕我问了一下，是扫描逻辑的问题，周一统一处理

360严重依赖云。简单改了无关紧要的字符串，修改后右击扫描。360卫士直接报安全，然后等样本自动上报返回结果后才报病毒。360杀毒扫描的时候，会等文件上传后返回结果，才报病毒，不会像卫士那样直接就报安全。
断网状态两者都报安全。

显示全部楼层 · 发表于 2018-12-22 16:27:04

www-tekeze 发表于 2018-12-21 22:20
在哪？论坛里才有吧，我用的就是在线安装程序。

版本日志 > 开发尝鲜版 > 离线安装包

[病毒样本] Backdoor/FakeExtent