#TA551 #Bazarloader（8.10）

anthonyqian

hsks 发表于 2021-8-10 21:42
hta应该会释放那个dll
那个dll：Cmd里输：C:\Windows\System32\rundll32.exe +文件路径,StartW 并enter ...

测好了 IPS拦截，随后让我进行NPE扫描

hsks

a233 发表于 2021-8-10 22:01
联网控制能拦一下，但是没啥用

危
bazarloader似乎会分发免杀性极强的cs远控

a233

hsks 发表于 2021-8-10 22:04
危
bazarloader似乎会分发免杀性极强的cs远控

要重装了？

蓝雨风暴

hta文件解压杀（然而EMSI设置的是只监控运行），然后扫描又报一个。剩下的一个AVG也没有侦测到

心心相印

红伞：1x

haroomini

卡巴斯基剩余DOC，双击打开被office2021拦截宏

Shake2333

bitdefender kill all

swizzer

@智量官方

8.8的病毒库，智量双击dll没反应？

手动删除dll后我这里rundll32会在每次开机时提示找不到相应的dll文件。可以认为是发作成功了吧···

智量官方

swizzer 发表于 2021-8-11 11:50
@智量官方

8.8的病毒库，智量双击dll没反应？

BazarLoader, Trickbot, IcedID 等恶意程序家族共享代码，行为相似, 智量内存检测是会启发通杀的. 不可能检测不到的. 我们7.15号的病毒库都杀了见图:


它会注入wermgr.exe或者svchost.exe, 两种情况都会被智量内存杀的. 这个dll导出了很多函数，但是有两个是真的,DllRegisterServer和StartW
由于导出了DllRegisterServer, 所以可以直接用regsvr32 dll路径执行, DllRegisterServer内部会调用StartW, 所以也可以用rundll32运行,
rundll32 dll路径,StartW. 两种运行方式智量都可杀.  没杀可能有两种原因,


1. 可能需要退出SpyShelter.
2. 在你的测试机器上病毒未发作，请用进程管理器观察病毒有没有启动wermgr.exe或者svchost.exe?

3. 有可能智量的文件被其它测试的恶意程序损坏了?

可以重新在断网环境下安装智量，如果老病毒库主防可杀，可以证明是你现在的安装文件出问题了.
启动出现rundll32问题，可以用微软的autorun工具看看启动项目，定位一下这个rundll32项目看看是否和这个恶意程序有关系.

mogu6666

FSP 1x
剩下的已上报