一个有意思的VBA类威胁，运行才有意思

显示全部楼层 · 发表于 2019-8-14 16:55:19

火绒miss，运行才有意思？有空双击。。

显示全部楼层 · 发表于 2019-8-14 16:57:27

www-tekeze 发表于 2019-8-14 16:55
火绒miss，运行才有意思？有空双击。。

没看到生成的脚本叫avastui么

显示全部楼层 · 发表于 2019-8-14 16:58:08

Microsoft

Trojan:Script/Oneeva.A!ml

显示全部楼层 · 发表于 2019-8-14 17:00:51

驭龙发表于 2019-8-14 16:57
没看到生成的脚本叫avastui么

2个小时没来论坛，样本太多了。。。只是扫了下。。

显示全部楼层 · 发表于 2019-8-14 17:02:34

www-tekeze 发表于 2019-8-14 17:00
2个小时没来论坛，样本太多了。。。只是扫了下。。

我刚刚发一个新的样本，那个比这个有意思，你去双击看看火绒是否拦截下载物吧

显示全部楼层 · 发表于 2019-8-14 17:18:39

安天miss，实机不敢双击

显示全部楼层 · 发表于 2019-8-14 18:01:54

McAfee livesafe miss

显示全部楼层 · 发表于 2019-8-15 13:28:33

哈哈哈哈哈这个作者到底套了多少层混淆

显示全部楼层 · 发表于 2019-8-15 13:36:04

B100D1E55 发表于 2019-8-15 13:28
哈哈哈哈哈这个作者到底套了多少层混淆

不知道，具体我没有研究，不过我测试各种样本，也没见到ML/augur报法，也不知道ESET的augur什么时候能发挥下威力

显示全部楼层 · 发表于 2019-8-15 13:42:13

本帖最后由 B100D1E55 于 2019-8-15 13:46 编辑

驭龙发表于 2019-8-15 13:36
不知道，具体我没有研究，不过我测试各种样本，也没见到ML/augur报法，也不知道ESET的augur什么时候能发 ...

这个样本的攻击链：

ppt释放vbe并添加自启动，vbe解密完是从一个网站下载jpg，jpg本身是另一个ps1脚本，然后嵌套了七八层混淆，我都不知道AMSI能不能扫得出来
好吧最后的最后貌似就是二进制代码用VB当函数加载了……某种意义上很努力

[病毒样本] 一个有意思的VBA类威胁，运行才有意思