搜索
12
返回列表 发新帖
楼主: Jirehlov1234
收起左侧

[病毒样本] 2x (2019-11-26)

[复制链接]
智量官方
发表于 2019-11-28 09:37:49 | 显示全部楼层
www-tekeze 发表于 2019-11-26 23:20
智量Heur清空,但VT上主流杀软都Miss,到底该不该杀该不该杀。。

Ursnif网银木马, 和这个贴是一样的:https://bbs.kafan.cn/thread-2165931-1-1.html

Ursnif算是最隐蔽的一类木马了。静态上木马本体是运行时在内存释放的,API也是根据内置的hash table动态解密,动态取址的。由于这些特性在静态上能放倒很大一批杀毒软件.

动态上该木马小心翼翼绝不踩红线,调动IE都是用com组件启动的,抛弃了之前的QueueApcThread方式。该IE进程会将上线信息通过HTTP POST方式发给CC, 木马内置了几个CC服务器, google.com, gmail.com 还有个microsoft.com都是用来迷惑安全分析用的,该木马会根据用户地理位置和是否虚拟机等选择CC服务器,如果地理位置对了,那就会连接真的CC服务器了.

这木马想尽招数躲避安全软件反而会成为它的命门,智量下个版本基于机器学习的深度内存检测会干掉这类木马.




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +4 收起 理由
www-tekeze + 1 感谢解答: )
Jirehlov1234 + 3 感谢解答: )

查看全部评分

www-tekeze
发表于 2019-11-28 15:57:31 | 显示全部楼层
智量官方 发表于 2019-11-28 09:37
Ursnif网银木马, 和这个贴是一样的:https://bbs.kafan.cn/thread-2165931-1-1.html

Ursnif算是最隐蔽 ...

感谢解答!期待新版。。
@火绒工程师   请官人来看下,似乎火绒对这些银行木马很无力,无论扫描还是主防。。
好在我用的杀软是绒智。。。哈哈。。


您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-12-10 18:28 , Processed in 0.071842 second(s), 16 queries .

快速回复 返回顶部 返回列表