另一个Hajj Policy and Plan 2020.pdf.lnk

显示全部楼层 · 发表于 2020-7-20 15:59:00

都是杀行为特征，而且是解压文档的行为特征，有些杀软是直接把MSHTA给停了直接不给用，第一步如果是只扫可执行文件的监控会被过掉，后面的带混淆衍生物没有杀软杀，因为没有意义，其密钥是从C2传入,静态分析毫无意义，对机器学习模型来说更是如此

显示全部楼层 · 发表于 2020-7-20 18:28:03

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2020-7-20 21:41:26

Mcafee LiveSafe双击+扫描，all miss

显示全部楼层 · 发表于 2020-7-20 22:03:19

54ss 发表于 2020-7-20 15:22
要不是在BDTS上看到这个报法，我还以为是企业版专属的呢

是挺像但是好像就是杀LNK的

显示全部楼层 · 发表于 2020-7-20 22:14:58

川建国代理人发表于 2020-7-20 09:31
智量扫描miss

这里是“确定”按钮而非“隔离”按钮，所以只是结束了MSHTA而已。并不是隔离了系统文件。

虽然智量确实隔离过我的services。。。

显示全部楼层 · 发表于 2020-7-20 22:19:37

川建国代理人发表于 2020-7-20 09:31
智量扫描miss

为什么我在win7双击不报

显示全部楼层 · 发表于 2020-7-20 22:26:50

静影沉璧发表于 2020-7-20 09:32

估计又是易语言

显示全部楼层 · 发表于 2020-7-21 09:46:36

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2020-7-21 12:07:05

swizzer 发表于 2020-7-20 22:19
为什么我在win7双击不报

@智量官方

刚用Win7 X64试了，可以拦截, 你看看是不是把智量高级防护关了? 虽然可能性比较低。

另外你双击mshta.exe进程启动了吗?

显示全部楼层 · 发表于 2020-7-21 12:08:16

川建国代理人发表于 2020-7-20 09:51
受教受教，那如果删除了被利用的系统文件，系统会出现哪些问题呢？

那个提示是已经阻止了恶意行为了，你只需要点确定即可，没有删除你的系统文件哦.
如果提示窗口上有隔离按钮，你才能删除病毒文件.

[病毒样本] 另一个Hajj Policy and Plan 2020.pdf.lnk