Vmp Protected

显示全部楼层 · 发表于 2020-10-31 23:31:06

星河大帝发表于 2020-10-31 23:29
UDS:Trojan-Ransom.Win32.Agent.azbt

这么快就分好类+给出变种编号了？

显示全部楼层 · 发表于 2020-10-31 23:32:26

swizzer 发表于 2020-10-31 23:31
这么快就分好类+给出变种编号了？

拉黑速度贼快

显示全部楼层 · 发表于 2020-10-31 23:39:11

Shake2333 发表于 2020-10-31 23:09
eset scan miss,已上报

ESET 报 suspicious object

显示全部楼层 · 发表于 2020-10-31 23:40:28

anthonyqian 发表于 2020-10-31 23:39
ESET 报 suspicious object

eset响应速度可以啊

显示全部楼层 · 发表于 2020-10-31 23:44:07

本帖最后由 swizzer 于 2020-10-31 23:45 编辑

话说有大佬能给出具体恶意行为吗···vmp不是我能对付的，运行样本也只是看到循环生成衍生物

@川建国代{过}{滤}理人 @a27573

显示全部楼层 · 发表于 2020-11-1 02:09:43

fsp解壓殺，但卡exe

显示全部楼层 · 发表于 2020-11-1 09:04:26

https://www.virustotal.com/gui/file/62b0b3ae7e628ef6549a577c416ca0c1cf2a2bff277345be339e3d554ee013c5/detection
35/72
这虚拟机探针贼恶心

WIN7/WIN10虚拟机都跑不出行为

只能用实机+影子了
话说运行要.NET Framework 3.5，安装了大半年

在C盘释放衍生物的路径 c:\users\admini~1\appdata\local\temp\ogaecmlkhlan.exe
用fileanalysispc和TrIDNet发现样本将读写内存保护更改为读执行

并通过路径为HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\ComputerName的文件查看了计算机名称
VMprotect壳被去除后运行

Defense Evasion	Discovery
Anti-virus, Signature-based detection, Heuristic detection	Process command-line parameters, Process monitoring

应该是为了防止同时设置所有RWX标志时被检测
判定为Trojan Wacatac恶意软件

显示全部楼层 · 发表于 2020-11-1 09:44:31

火绒 kill 微点双击 kill

显示全部楼层 · 发表于 2020-11-1 17:10:01

管家miss

[可疑文件] Vmp Protected

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源