0518样本

www-tekeze

今天和昨天那个很相似，都是三国合击。。。昨天的智量扫描双击均MISS，但后来入库了，估计样本差不多，所以今天这个命中特码也杀了，但也只是扫描杀，双击主防没反应，恶意行为还没出来吧？因为我没装客户端无法点“开始游戏”，也看不到那个神秘的dll，真希望楼主放出来给大家欣赏下。。。

PS：火绒更新后昨天今天两个样本都不报（但前几天那个6.exe是火绒先报，智量后来才跟进报的释放器）
这两个不报的还是请火绒官人再分析下。。   @火绒工程师

kaba666

www-tekeze 发表于 2019-5-18 23:39
今天和昨天那个很相似，都是三国合击。。。昨天的智量扫描双击均MISS，但后来入库了，估计样本差不多，所 ...

不需要客户端，你点左边栏里的服务器连接，选择一个，就会显现开始游戏按钮了！必须联网，式式吧！

www-tekeze

huang1111 发表于 2019-5-18 20:18
这种病毒有点头大，已经提交给实验室分析去了，静态扫描毛都查不出来

友情提醒。。。这类联网游戏，黑产很喜欢玩云控，今天的dll可能是黑的，如果主流杀软有反应了，那就收敛点，明天的dll可能变白的。。。事实上，楼主放的样本初始行为可能像downloader，自身问题不大甚至完全没问题，恶意是在Payload里，可这个Payload并不是很快落地，那杀软刚开始虽然很容易MISS，但不等于永远没反应！特别是卡巴、BD、诺顿这些行为防御强悍的，换句话说，不等于这个样本就成功了而杀软失败了，呵呵。。。

www-tekeze

kaba666 发表于 2019-5-18 23:45
不需要客户端，你点左边栏里的服务器连接，选择一个，就会显现开始游戏按钮了！必须联网，式式吧！

是吗，嘿嘿，我到想见识下那个神秘莫测的dll 。。   待会向你汇报。。。
哈哈，你说的没错，选完服务器刚点下“开始游戏”，智量主防就拦截了。。  等我找找那个dll 。。。

补充：昨天和今天两个样本，都没有他说的那个CDClient.dll，不明觉厉！

huang1111

www-tekeze 发表于 2019-5-18 23:55
友情提醒。。。这类联网游戏，黑产很喜欢玩云控，今天的dll可能是黑的，如果主流杀软有反应了，那就收敛 ...

我之前也说过有可能是一个downloader。。。但是根本复现不出来行为，今天有空我再去试一下吧，希望有结果

huang1111

www-tekeze 发表于 2019-5-18 23:57
是吗，嘿嘿，我到想见识下那个神秘莫测的dll 。。   待会向你汇报。。。
哈哈，你说的没错，选完 ...

卡巴斯基全程无任何反应！！！
但是网络监控上面也没有发现什么异常的远程端口，再次复现失败，，，，

神算子

jdsh 发表于 2019-5-18 13:19
WD

wd还有点用

asdfgpasdfgp

之前被云主防拦截到的关系，现在已经直接报云杀了~

huang1111

New malicious software was found in the attached file. Its detection will be included in the next update.
Trojan-PSW.Win32.Agent.tidi

Best regards, Denis Sitchikhin, Malware Analyst

卡巴斯基已经通杀，0515，0517，0518病毒已经全部ko（此前仅提交了0518病毒样本）
感谢楼主带来的优质样本

冰血封心

huang1111 发表于 2019-5-23 18:04
New malicious software was found in the attached file. Its detection will be included in the next up ...

好样的，你居然把这些样本放在了心上。