0517高质量样本

冰血封心

kaba666 发表于 2019-5-17 13:36
恩!应外,说个事,这样本在卡巴的手动模式下,注入行为太多了!但同样引起测试人员的警惕!

作为卡巴用户来说，没有几个和你一样痴迷卡巴这么专业开手动模式。恶意团伙的目的是搞用户。一般的用户认为默认就是最好的。所以一般都会沦陷。

冰血封心

lovelive10010 发表于 2019-5-17 12:32
红伞的APC不像是误杀

和诺顿一样误报杀补丁。

kaba666

冰血封心 发表于 2019-5-17 13:38
作为卡巴用户来说，没有几个和你一样痴迷卡巴这么专业开手动模式。恶意团伙的目的是搞用户。一般的用户认 ...

哈哈!好了!我们讨论就到此为止吧!感谢你的样本!

jumgg265

微步沙箱检测到一个河北的IP 不知道是不是那个远控的控制端

skilly

  哦豁！我大数字没扫到！

   

  但是这个BD已经能识别了，BD的报毒名不是很懂。。。。

   

  关了监控双击之后一直扫牙扫的没反应。。
     

  不说废话，游戏开始。释放了一大堆桌面文件。。。
   



   楼主真是传奇王啊，什么时候开始打沙城？叫上我！元宝走起来！

冰血封心

skilly 发表于 2019-5-17 15:13
哦豁！我大数字没扫到！

   

BD是误报，准确的说应该是识别到了克隆的数字签名。该代码属于盗版游戏破解软件代码类，并没有进行深入分析。我是不玩这种东西的，我说过了是安装了一次系统，朋友玩这个对杀毒深信不疑产生了巨大的误会。

skilly

冰血封心 发表于 2019-5-17 15:43
BD是误报，准确的说应该是识别到了克隆的数字签名。该代码属于盗版游戏破解软件代码类，并没有进行深入分 ...

这是属于下载器类型吗？光是运行客户端没反应啊，只有开始游戏，客户端下载具体文件才能动起来啊。是客户端下载了恶意文件吗？或者点击下载才释放恶意代码吗？不是很懂。

冰血封心

skilly 发表于 2019-5-17 15:57
这是属于下载器类型吗？光是运行客户端没反应啊，只有开始游戏，客户端下载具体文件才能动起来啊。是客户 ...

准确说不是啊，根据我的分析认为是：伪装通信。样本使用了很多技术来对抗，例如反虚拟机，驱动保护，DLL外壳注入保护（木马彩衣类），随机PE特征，恶意模块调位置变换，伪造数字签名，反向代{过}{滤}理隐藏IP，C++内存保护壳，增加附加数据增大体积（干扰云杀启发上传分析）等等一系列的技术。最终的目的都是实现隐藏远控功能。前面提到的技术都是对抗迷惑病毒分析师用的假象。

温馨小屋

冰血封心 发表于 2019-5-17 15:43
BD是误报，准确的说应该是识别到了克隆的数字签名。该代码属于盗版游戏破解软件代码类，并没有进行深入分 ...

请问你是如何识别BD杀了签名的，我想学习学习。。。

冰血封心

温馨小屋 发表于 2019-5-17 16:08
请问你是如何识别BD杀了签名的，我想学习学习。。。

之前我有使用过BD，正规软件数字签名经常被破坏就是这种代码+数字。