海莲花利用Glitch平台的攻击样本相关存档 (2022-01-20)

hyx2230

anthonyqian 发表于 2022-1-20 16:59
程序版本不影响这种入库报法的检测吧。。。

这就不清楚了，可以问下@智量官方

喀反

WD剩2

WD厉害啊，就我发完这个评论后，再下载就全杀了

swizzer

锁库智量（2022/1/18）
扫描miss all
双击，hips阻止svchost添加计划任务。
阻止后等待数秒至数分钟不等，衍生物均被识别为Heur.ML.PE.E。

若选择放行，则内存防护杀rundll32-MEMRAY:MalCode.D0。
最终所有文档的恶意行为均被拦截。

1. 2022-01-20 16:58:49|C:\ProgramData\Microsoft Outlook Sync\background.dll|Heur.ML.PE.E
   
2. 2022-01-20 16:59:28|C:\Windows\System32\svchost.exe->%systemroot%\system32\rundll32.exe|事件: 创建计划任务  操作: 阻止
   
3. 2022-01-20 16:59:39|C:\Windows\System32\svchost.exe->%systemroot%\system32\rundll32.exe|规则: autogenrule_4EMHUdIs  事件: 创建计划任务  操作: 阻止
   
4. 2022-01-20 16:59:41|C:\ProgramData\Microsoft Outlook Sync\background.dll|Heur.ML.PE.E
   
5. 2022-01-20 17:00:07|C:\Windows\System32\svchost.exe->%systemroot%\system32\rundll32.exe|规则: autogenrule_4EMHUdIs  事件: 创建计划任务  操作: 阻止
   
6. 2022-01-20 17:00:09|C:\ProgramData\Microsoft Outlook Sync\background.dll|Heur.ML.PE.E
   
7. 2022-01-20 17:01:58|C:\Windows\System32\svchost.exe->%systemroot%\system32\rundll32.exe|事件: 创建计划任务  操作: 允许
   
8. 2022-01-20 17:02:23|C:\Windows\System32\svchost.exe->%systemroot%\system32\rundll32.exe|事件: 创建计划任务  操作: 阻止
   
9. 2022-01-20 17:03:13|C:\Windows\System32\svchost.exe->%systemroot%\system32\rundll32.exe|事件: 创建计划任务  操作: 允许
   
10. 2022-01-20 17:04:16|C:\ProgramData\Microsoft Outlook Sync\background.dll|Heur.ML.PE.E
    
11. 2022-01-20 17:04:56|C:\Windows\SysWOW64\rundll32.exe|MEMRAY:MalCode.D0

复制代码

anthonyqian

hyx2230 发表于 2022-1-20 17:03
这就不清楚了，可以问下@智量官方

智量的流式更新了解一下

NICO-COOPER

FSPmiss all手动解压了所有压缩包还是miss，最新病毒库

swizzer

wwwab 发表于 2022-1-20 16:51
智量4楼miss all，5楼kill all，什么情况

八成是蹲点。

不过双击也全杀了

https://bbs.kafan.cn/forum.php?m ... amp;fromuid=1068458

hyx2230

anthonyqian 发表于 2022-1-20 17:06
智量的流式更新了解一下

我知道，或许是因为他没更新

Opera~

wd全部报TrojanDropper:O97M/EncDoc!MSR

swizzer

FSP
扫描miss all

衍生物也不杀

目前正与样本进程（rundll32）愉快相处中···
————————————————————
原来C2已经挂了。。。测试结束。

ericdj

anthonyqian 发表于 2022-1-20 16:43
诺顿

请问你这是全部解压缩还是直接扫描压缩包啊？