Malware.Gen"绿色版QQ”里被修改了的AFCtrl.dll

BFAX

应该是360的误报了吧
目前已向360官方反馈

44# meaqua
安全文件
找了源文件来对比


一共有五处修改

第一处
73 0E  -> EB 0E
jae -> jmp

第二处
85 C0 -> 3B C0
test eax,eax -> cmp eax,eax

第三处
0F 84 -> 90 E9
je -> nop jmp

第四、五处同第三处

都是跳转，逻辑上的修改

原始文件MD5
3E43934D185D62E1DC19FF6B3EAEBA05

关于数字签名
只要文件有修改签名就会无效，要不拿签名来干啥啊

无效的腾讯数字签名

8# 温馨小屋
数字签名无效

13# Jerry.Lin
有修改不一定有加料

固暂时还是定义为可疑文件，等一波大佬的分析
有新的杀软扫测或者大佬的分析我会手动制顶

解压密码 infected (样本区默认的)

温馨小屋

腾讯的签名。。。

BFAX

来源是某下载站的绿色版QQ
解压时360杀毒发现的

11111111111445

卡巴是未知,但是能读出来是腾讯的

心醉咖啡

火绒扫描miss

meaqua

安全文件
找了源文件来对比



一共有五处修改
第一处
73 0E  -> EB 0E
jae -> jmp

第二处
85 C0 -> 3B C0
test eax,eax -> cmp eax,eax

第三处
0F 84 -> 90 E9
je -> nop jmp

第四、五处同第三处

都是跳转，逻辑上的修改

原始文件MD5
3E43934D185D62E1DC19FF6B3EAEBA05

关于数字签名
只要文件有修改签名就会无效，要不拿签名来干啥啊

BFAX

温馨小屋 发表于 2021-4-7 19:40
腾讯的签名。。。

一个QQ绿色版里的，你这手速够快的

温馨小屋

BFAX 发表于 2021-4-7 19:42
一个QQ绿色版里的，你这手速够快的

360这是什么都敢杀啊，此处应该 @00006666

BFAX

温馨小屋 发表于 2021-4-7 19:44
360这是什么都敢杀啊，此处应该 @00006666

别，我现在6号大字恐惧症
你能发给我一个你QQ的AFCtrl.dll么，我让360扫一下
就在 安装根目录\QQ\Bin\ 文件夹下
我现在用MAC虚拟机没QQ

Jerry.Lin

这个是本地QVM报的还是鲲鹏报的？

BFAX

Jerry.Lin 发表于 2021-4-7 19:50
这个是本地QVM报的还是鲲鹏报的？

QVM报的

温馨小屋

BFAX 发表于 2021-4-7 19:46
别，我现在6号大字恐惧症
你能发给我一个你QQ的AFCtrl.dll么，我让360扫一下
就在 安装根目录\QQ\Bin\  ...

我用的林语的绿色版qq，和你这个哈希一样。。

我找了同版本的正式版QQ，发现这个dll是被修改过的，数字签名无效。

BFAX

温馨小屋 发表于 2021-4-7 19:57
我用的林语的绿色版qq，和你这个哈希一样。。

我找了同版本的正式版QQ，发现这个dll是被修改过的，数 ...

我试着扫了下林雨的AFCtrl.dll，360的确不报
又试了下原版的，360也不报
那么说确认是感染文件喽？