2x (2019-11-26)

智量官方

www-tekeze 发表于 2019-11-26 23:20
智量Heur清空，但VT上主流杀软都Miss，到底该不该杀该不该杀。。

Ursnif网银木马, 和这个贴是一样的:https://bbs.kafan.cn/thread-2165931-1-1.html

Ursnif算是最隐蔽的一类木马了。静态上木马本体是运行时在内存释放的，API也是根据内置的hash table动态解密，动态取址的。由于这些特性在静态上能放倒很大一批杀毒软件.

动态上该木马小心翼翼绝不踩红线，调动IE都是用com组件启动的，抛弃了之前的QueueApcThread方式。该IE进程会将上线信息通过HTTP POST方式发给CC， 木马内置了几个CC服务器, google.com, gmail.com 还有个microsoft.com都是用来迷惑安全分析用的，该木马会根据用户地理位置和是否虚拟机等选择CC服务器，如果地理位置对了，那就会连接真的CC服务器了.

这木马想尽招数躲避安全软件反而会成为它的命门，智量下个版本基于机器学习的深度内存检测会干掉这类木马.

www-tekeze

智量官方 发表于 2019-11-28 09:37
Ursnif网银木马, 和这个贴是一样的:https://bbs.kafan.cn/thread-2165931-1-1.html

Ursnif算是最隐蔽 ...

感谢解答！期待新版。。
@火绒工程师   请官人来看下，似乎火绒对这些银行木马很无力，无论扫描还是主防。。
好在我用的杀软是绒智。。。哈哈。。