搜索
楼主: 驭龙
收起左侧

[病毒样本] 一个有意思的VBA类威胁,运行才有意思

[复制链接]
www-tekeze
发表于 2019-8-14 16:55:19 | 显示全部楼层
火绒miss,运行才有意思? 有空双击。。


驭龙
 楼主| 发表于 2019-8-14 16:57:27 | 显示全部楼层
www-tekeze 发表于 2019-8-14 16:55
火绒miss,运行才有意思? 有空双击。。

没看到生成的脚本叫avastui么
莒县小哥
发表于 2019-8-14 16:58:08 | 显示全部楼层
Microsoft

Trojan:Script/Oneeva.A!ml
www-tekeze
发表于 2019-8-14 17:00:51 | 显示全部楼层
驭龙 发表于 2019-8-14 16:57
没看到生成的脚本叫avastui么

2个小时没来论坛,样本太多了。。。只是扫了下。。


驭龙
 楼主| 发表于 2019-8-14 17:02:34 | 显示全部楼层
www-tekeze 发表于 2019-8-14 17:00
2个小时没来论坛,样本太多了。。。只是扫了下。。

我刚刚发一个新的样本,那个比这个有意思,你去双击看看火绒是否拦截下载物吧
暗_黑
发表于 2019-8-14 17:18:39 | 显示全部楼层
安天miss,实机不敢双击
mr_bean_forever
发表于 2019-8-14 18:01:54 | 显示全部楼层
McAfee  livesafe  miss
B100D1E55
发表于 2019-8-15 13:28:33 | 显示全部楼层
哈哈哈哈哈这个作者到底套了多少层混淆
驭龙
 楼主| 发表于 2019-8-15 13:36:04 | 显示全部楼层
B100D1E55 发表于 2019-8-15 13:28
哈哈哈哈哈这个作者到底套了多少层混淆

不知道,具体我没有研究,不过我测试各种样本,也没见到ML/augur报法,也不知道ESET的augur什么时候能发挥下威力
B100D1E55
发表于 2019-8-15 13:42:13 | 显示全部楼层
本帖最后由 B100D1E55 于 2019-8-15 13:46 编辑
驭龙 发表于 2019-8-15 13:36
不知道,具体我没有研究,不过我测试各种样本,也没见到ML/augur报法,也不知道ESET的augur什么时候能发 ...

这个样本的攻击链:

ppt释放vbe并添加自启动,vbe解密完是从一个网站下载jpg,jpg本身是另一个ps1脚本,然后嵌套了七八层混淆,我都不知道AMSI能不能扫得出来
好吧最后的最后貌似就是二进制代码用VB当函数加载了……某种意义上很努力
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-8-25 15:17 , Processed in 0.035289 second(s), 4 queries , MemCache On.

快速回复 返回顶部 返回列表