#Gozi #Ursnif #Injector #Downloader

www-tekeze

a233 发表于 2020-2-20 22:31
这是dll

哈哈，才发现我也下到了这个样本，原始就是dll，楼主干嘛要改成exe 。。

BE_HC

www-tekeze 发表于 2020-2-20 22:41
哈哈，才发现我也下到了这个样本，原始就是dll，楼主干嘛要改成exe 。。

我下下来是exe,然后我扔盒子,顺便trid看一看,结果盒子给dll trid给的exe...

www-tekeze

BE_HC 发表于 2020-2-20 22:43
我下下来是exe,然后我扔盒子,顺便trid看一看,结果盒子给dll trid给的exe...

你看我那个下载列表，本来就是dll 。。。看来我们不是同一个网站找的。。。

BE_HC

温馨小屋 发表于 2020-2-20 22:34
什么句柄？

emmm我在我虚拟机加载不出来dll

盒子给的是注入资源浏览器,你可以看看有没有这个模块来判断防御是否成功

1. Process memory ex was written by this file        FilePath: %SYSTEMROOT%\explorer.exe; TargetPid: 1408; Length: 4; Address: 0x77956930;

复制代码

munsimli

fsp解壓後監控殺了

swizzer

温馨小屋 发表于 2020-2-20 22:29
卡巴杀手锏翻车了

搜索一下系统的进程中有没有加载这个模块（句柄最好也看看），如果没加载就算防御成功了
如果卡巴真的杀了，Rundll32即使还在应该也没事

温馨小屋

swizzer 发表于 2020-2-21 06:42
搜索一下系统的进程中有没有加载这个模块（句柄最好也看看），如果没加载就算防御成功了
如果卡巴真的杀 ...

今天卡巴的行为和昨天不一样了，可能是因为UDS入库更新了SW的BSS特征吧。。。


如果先关闭卡巴，运行后在打开，卡巴可以检出内存感染，但是无法处理，和昨天一样。这个模块加载进去可能名字变了，或者以另外的形式进入了explorer，没有观察到可疑模块，但是卡巴可以检出内存感染



把DLL改MD5过UDS，卡巴会在控制面板进程结束后检出内存感染，并会重启explorer.exe以清除感染，而且一报毒报十多条，清除之后就不再报毒了。




卡巴是杀在了注入完成之后，ATD在注入之前就把rundll32那一串都杀了。。。

温馨小屋

swizzer 发表于 2020-2-21 06:42
搜索一下系统的进程中有没有加载这个模块（句柄最好也看看），如果没加载就算防御成功了
如果卡巴真的杀 ...

刚发现他把自己放到这里了，要不说为啥每次开机都杀不掉呢，UDS刚刚才入库