雷鸟下载

vm001

单纯行为上讲，样本并无明显恶意行为，比如注入rundll32.exe是在调用此程序来显示软件的登录页面，如图

如果结束进程，页面会被关闭，如图


至于rundll32.exe联网，同样是连接的百度相关域名。



最后说到结束火绒剑，微云也说了，反调试，这个不是唯独恶意程序特有的吧，如果我是恶意程序，我也不会去单独去搞火绒剑(火绒剑有多少人用？能力也不强），去搞360急救箱，去搞pch,搞这些能力强的，用户量大的更实惠。

swizzer

vm001 发表于 2020-10-6 23:28
单纯行为上讲，样本并无明显恶意行为，比如注入rundll32.exe是在调用此程序来显示软件的登录页面，如图

...

https://bbs.kafan.cn/forum.php?m ... 49&pid=47367169

从这里看来应该不是每次都投放恶意代码？

等一波相关分析

vm001

swizzer 发表于 2020-10-6 23:52
https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2192149&pid=47367169

从这里看来 ...

我上面的回复就是有注入行为的，这个注入rundll32并不是恶意程序独有的行为，而此程序为啥会注入rundll32上面也说了，是为了显示登录页面内容的。

hy_alvin

我这卡巴前些天ASMI给拦了，后来估计是被卡巴信任了；反倒是火绒一直很安静，按理来说杀火绒的东西火绒不应该会管管吗？卡巴和火绒扫雷鸟整个文件夹也都没反应，求大佬解答

hy_alvin

我现在有点担心小白羊了。。。

至高神

vm001 发表于 2020-10-6 23:28
单纯行为上讲，样本并无明显恶意行为，比如注入rundll32.exe是在调用此程序来显示软件的登录页面，如图

...

登录百度就要注入rundll32，这是什么逻辑？那我浏览器开个网页也要注入explorer？
不搞360急救箱和PCH的原因一是难搞，搞不过，二是这两个没有行为监控记录，不需要搞
搞火绒剑就不一样了，杀掉火绒剑很容易，而且火绒剑会记录软件的一切行为，说明雷鸟心虚
恶意就是恶意，少洗地了

lenovo2019用户

至高神 发表于 2020-10-6 12:22
确实无证据能证实恶意，反过来也一样无证据能证明清白
无恶意那它为何一运行就关闭火绒剑和fiddle？
清 ...

如此说来，疑罪从无

至高神

lenovo2019用户 发表于 2020-10-7 07:32
如此说来，疑罪从无

有两点罪状：
1.智量官方实锤的雷鸟会注入rundll32
2.雷鸟一运行就会关闭火绒剑，fiddle
就这两点足够了，多说无益

vm001

至高神 发表于 2020-10-7 07:17
登录百度就要注入rundll32，这是什么逻辑？那我浏览器开个网页也要注入explorer？
不搞360急救箱和PCH的 ...

就事论事而已，这个软件用得着我去洗地？行为属不属于恶意要看他干了啥，而不是应为某一个动作定位恶意。如果一个注入动作就定位恶意 那该杀的多了，最该杀的就是杀软。

huang1111

智量官方 发表于 2020-10-5 22:47
它会启动rundll32.exe但不是每次都会注入的, 你可以用一些监视工具比如API MONITOR查看是否有注入行为发 ...

hello

首先第一个疑问，注入行为是否一定为恶意？
第二个疑问，用户端日志是否得到用户同意而上传？如果涉及用户隐私而不经过用户同意，结果不言而喻。
第三个疑问，现在讨论到目前为止，依然是“我认为”“我觉得”，并没有任何实际证据可以证明此程序涉及到行为，那么你们是从哪方面看出来这是病毒的呢？