搜索
楼主: Sept.
收起左侧

[可疑文件] 雷鸟下载

  [复制链接]
vm001
发表于 2020-10-6 23:28:30 | 显示全部楼层
本帖最后由 vm001 于 2020-10-6 23:32 编辑

单纯行为上讲,样本并无明显恶意行为,比如注入rundll32.exe是在调用此程序来显示软件的登录页面,如图

如果结束进程,页面会被关闭,如图


至于rundll32.exe联网,同样是连接的百度相关域名。



最后说到结束火绒剑,微云也说了,反调试,这个不是唯独恶意程序特有的吧,如果我是恶意程序,我也不会去单独去搞火绒剑(火绒剑有多少人用?能力也不强),去搞360急救箱,去搞pch,搞这些能力强的,用户量大的更实惠。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 4人气 +7 收起 理由
小v可 + 2 感谢解答: )
帝辛 + 2 感谢解答: )
YorkWaugh + 2 版区有你更精彩: )
川建国代理人 + 1 --------

查看全部评分

swizzer
发表于 2020-10-6 23:52:39 | 显示全部楼层
vm001 发表于 2020-10-6 23:28
单纯行为上讲,样本并无明显恶意行为,比如注入rundll32.exe是在调用此程序来显示软件的登录页面,如图

...

https://bbs.kafan.cn/forum.php?m ... 49&pid=47367169

从这里看来应该不是每次都投放恶意代码?

等一波相关分析
vm001
发表于 2020-10-6 23:59:25 | 显示全部楼层
swizzer 发表于 2020-10-6 23:52
https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2192149&pid=47367169

从这里看来 ...

我上面的回复就是有注入行为的,这个注入rundll32并不是恶意程序独有的行为,而此程序为啥会注入rundll32上面也说了,是为了显示登录页面内容的。
hy_alvin
发表于 2020-10-7 00:17:03 | 显示全部楼层
我这卡巴前些天ASMI给拦了,后来估计是被卡巴信任了;反倒是火绒一直很安静,按理来说杀火绒的东西火绒不应该会管管吗?卡巴和火绒扫雷鸟整个文件夹也都没反应,求大佬解答
hy_alvin
发表于 2020-10-7 00:49:42 | 显示全部楼层
我现在有点担心小白羊了。。。
至高神
发表于 2020-10-7 07:17:55 | 显示全部楼层
vm001 发表于 2020-10-6 23:28
单纯行为上讲,样本并无明显恶意行为,比如注入rundll32.exe是在调用此程序来显示软件的登录页面,如图

...

登录百度就要注入rundll32,这是什么逻辑?那我浏览器开个网页也要注入explorer?
不搞360急救箱和PCH的原因一是难搞,搞不过,二是这两个没有行为监控记录,不需要搞
搞火绒剑就不一样了,杀掉火绒剑很容易,而且火绒剑会记录软件的一切行为,说明雷鸟心虚
恶意就是恶意,少洗地了
lenovo2019用户
发表于 2020-10-7 07:32:19 | 显示全部楼层
至高神 发表于 2020-10-6 12:22
确实无证据能证实恶意,反过来也一样无证据能证明清白
无恶意那它为何一运行就关闭火绒剑和fiddle?
清 ...

如此说来,疑罪从无
至高神
发表于 2020-10-7 07:39:49 | 显示全部楼层
lenovo2019用户 发表于 2020-10-7 07:32
如此说来,疑罪从无

有两点罪状:
1.智量官方实锤的雷鸟会注入rundll32
2.雷鸟一运行就会关闭火绒剑,fiddle
就这两点足够了,多说无益
vm001
发表于 2020-10-7 08:53:04 | 显示全部楼层
至高神 发表于 2020-10-7 07:17
登录百度就要注入rundll32,这是什么逻辑?那我浏览器开个网页也要注入explorer?
不搞360急救箱和PCH的 ...

就事论事而已,这个软件用得着我去洗地?行为属不属于恶意要看他干了啥,而不是应为某一个动作定位恶意。如果一个注入动作就定位恶意 那该杀的多了,最该杀的就是杀软。
huang1111
发表于 2020-10-7 15:51:52 | 显示全部楼层
智量官方 发表于 2020-10-5 22:47
它会启动rundll32.exe但不是每次都会注入的, 你可以用一些监视工具比如API MONITOR查看是否有注入行为发 ...

hello

首先第一个疑问,注入行为是否一定为恶意?
第二个疑问,用户端日志是否得到用户同意而上传?如果涉及用户隐私而不经过用户同意,结果不言而喻。
第三个疑问,现在讨论到目前为止,依然是“我认为”“我觉得”,并没有任何实际证据可以证明此程序涉及到行为,那么你们是从哪方面看出来这是病毒的呢?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 晋ICP备20004298号-1 ) GMT+8, 2021-2-27 03:37 , Processed in 0.101856 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表