一个免杀远控

显示全部楼层 · 发表于 2019-7-13 22:33:21

SUARP-BIGNUM 发表于 2019-7-13 22:23
头晕吧，这个样本活跃度很强

已经明白了，是白+黑。。。
火绒杀的是那个黑dll，开启智量监控同样会杀这个黑dll。。

QQNetBar自身没问题！

显示全部楼层 · 发表于 2019-7-13 22:37:55

www-tekeze 发表于 2019-7-13 22:33
已经明白了，是白+黑。。。
火绒杀的是那个黑dll，开启智量监控同样会杀这个黑dll。。 QQNetBar ...

这个不是看一眼就明白的吗？

显示全部楼层 · 发表于 2019-7-13 22:39:38

SUARP-BIGNUM 发表于 2019-7-13 22:37
这个不是看一眼就明白的吗？

6楼火绒报QQNetBar为勒索，被吓晕了。。

显示全部楼层 · 发表于 2019-7-13 22:44:44

本帖最后由 2512975065 于 2019-7-13 22:46 编辑

www-tekeze 发表于 2019-7-13 22:14
刚才多次双击样本没重启，可能火绒出问题了。。。现在报黑dll为后门但不报QQNetBar.exe 。。

也不知道怎么弄得，反正用了一个很骚的方法打开它

显示全部楼层 · 发表于 2019-7-13 22:52:13

2512975065 发表于 2019-7-13 22:44
也不知道怎么弄得，反正用了一个很骚的方法打开它

有可能动了火绒的勒索诱饵，才被恶意行为监控报勒索。。。你那里还能复现么。。

显示全部楼层 · 发表于 2019-7-13 23:12:01

本帖最后由 www-tekeze 于 2019-7-13 23:13 编辑

ESET，Scan miss all，双击图片.exe和QQNetBar都有需重启清除的提示，但重启后也没见清除，算不算成功？

显示全部楼层 · 发表于 2019-7-13 23:16:42

显示全部楼层 · 发表于 2019-7-14 10:18:25

www-tekeze 发表于 2019-7-13 21:56
这个QQNetBar有阿里有效数签，怎么成勒索了。。 @火绒工程师

我这里双击没发现问题，只是会 ...

您好，火绒报毒依据是根据样本的行为报毒~

显示全部楼层 · 发表于 2019-7-14 11:26:58

火绒工程师发表于 2019-7-14 10:18
您好，火绒报毒依据是根据样本的行为报毒~

根据样本行为报毒，确实是这样。。。但官人看24、25楼，可能被他动了勒索诱饵才造成误报。

PS：我又双击试了下，只会杀黑dll不会杀白exe，QQNetBar只是被白利用。

显示全部楼层 · 发表于 2019-7-14 13:46:43

www-tekeze 发表于 2019-7-14 11:26
根据样本行为报毒，确实是这样。。。但官人看24、25楼，可能被他动了勒索诱饵才造成误报。

PS：我又双 ...

好久不看样本了，这个样本很早的了

[病毒样本] 一个免杀远控