收到的病毒邮件附件卡巴没反应

显示全部楼层 · 发表于 2021-12-5 00:51:14

手头能接触到的只有火绒 360 微软mse 卡巴, 只有360有反应

显示全部楼层 · 发表于 2021-12-5 00:57:55

pal家族发表于 2021-12-4 21:11
不要紧文件放在那里不动
卡巴入库之后你再扫描下可以自动回滚

别人的机, 运行过
有担忧

显示全部楼层 · 发表于 2021-12-5 07:15:00

上报卡巴斯基，KSN已经拉黑，暂时未入库。双击可拦截报毒名：UDS:Trojan.Win32.Agent.a

显示全部楼层 · 发表于 2021-12-5 13:58:05

演练钓鱼邮件；

沙箱检测
自删除
利用COM组件(没分析)
cobalt strike shellcode --》连接106.75.14.96

shellcode

显示全部楼层 · 发表于 2021-12-5 15:10:11

日志
E:\操作步骤\操作步骤.zip > ZIP > 操作步骤.exe - Win32/Agent.ADPP 特洛伊木马的变量 - 已删除

显示全部楼层 · 发表于 2021-12-5 15:11:04

本帖最后由 ytysh 于 2021-12-5 16:24 编辑

Ahnlab V3 Lite Miss

显示全部楼层 · 发表于 2021-12-5 16:14:38

卡巴KES扫描清除。智量扫描无反应

显示全部楼层 · 发表于 2021-12-5 17:50:37

奇怪的是上报后现在报毒名又是启发式，所以当时为啥没办法检出，也不可能只隔一天就把启发特征改了把

显示全部楼层 · 发表于 2021-12-6 00:33:45

本帖最后由 pmet12345 于 2021-12-6 00:35 编辑

今天机上卡巴开始有反应了, 另外2份同样不同内容的病毒附件也能判断出来了
感谢各位的帮忙提交分析

显示全部楼层 · 发表于 2021-12-6 11:48:36

ther 发表于 2021-12-5 17:50
奇怪的是上报后现在报毒名又是启发式，所以当时为啥没办法检出，也不可能只隔一天就把启发特征改了把

大数据云时代，特征库更新很快、有实时推送，包括启发式检测，也包括启发式的误报解除。可能先入启发式，样本多了或者研究深了再正式定名入库。

[问题求助] 收到的病毒邮件附件 卡巴没反应