#Fakeinstaller #Remcos (2022-02-04)

显示全部楼层 · 发表于 2022-2-10 10:08:23

anthonyqian 发表于 2022-2-10 10:00
真的假的。。。卡巴不是只有UDS才不会通杀吗我还以为Backdoor.Win32.Remcos.ucb是提取到特征了

楼主上传的样本哈希值 - e946af3ab6614f0b20515a3fa8b5a73210e8932d - Backdoor.Win32.Remcos.uca

我上报链接的时候，样本的哈希值已改变 - cec8ca0aa09fb30b3161ad98953bd943d4874147 - Backdoor.Win32.Remcos.ucb

这类的报法只会increment letter uca > ucb

报法以HEUR: ... .gen 入库就能通杀

显示全部楼层 · 发表于 2022-2-10 10:09:04

anthonyqian 发表于 2022-2-10 10:00
真的假的。。。卡巴不是只有UDS才不会通杀吗我还以为Backdoor.Win32.Remcos.ucb是提取到特征了

卡巴有些样本提取的的特征很弱的，eset一个特征能检测的样本卡巴有时候能a、b、c、d一直排下去。

显示全部楼层 · 发表于 2022-2-10 10:12:23

anthonyqian 发表于 2022-2-10 10:00
真的假的。。。卡巴不是只有UDS才不会通杀吗我还以为Backdoor.Win32.Remcos.ucb是提取到特征了

没有HEUR的都不是通杀

VHO的抗混淆能力估计都比这种没有前缀的报法好

显示全部楼层 · 发表于 2022-2-10 10:17:22

本帖最后由 00006666 于 2022-2-10 10:30 编辑

编辑

显示全部楼层 · 发表于 2022-2-10 10:19:54

swizzer 发表于 2022-2-10 10:12
没有HEUR的都不是通杀

VHO的抗混淆能力估计都比这种没有前缀的报法好

这种没有前缀的应该不是和铁壳Trojan.Gen 一样的MD5拉黑吧

显示全部楼层 · 发表于 2022-2-10 10:20:35

anthonyqian 发表于 2022-2-10 10:19
这种没有前缀的应该不是和铁壳Trojan.Gen 一样的MD5拉黑吧

卡巴拉黑可以反MD5修改的。

显示全部楼层 · 发表于 2022-2-10 10:22:38

anthonyqian 发表于 2022-2-10 10:19
这种没有前缀的应该不是和铁壳Trojan.Gen 一样的MD5拉黑吧

比MD5拉黑还是强一点

但是特征强度真的不咋地···你加个upx都有可能绕过

显示全部楼层 · 发表于 2022-2-10 10:23:12

00006666 发表于 2022-2-10 10:17
VHO其实有点像是一种模糊哈希

这个我知道

显示全部楼层 · 发表于 2022-2-10 10:23:42

swizzer 发表于 2022-2-10 10:22
比MD5拉黑还是强一点

但是特征强度真的不咋地···你加个upx都有可能绕过

那也...不太行....还以为这种报法是特征杀呢

显示全部楼层 · 发表于 2022-2-10 10:24:00

swizzer 发表于 2022-2-10 10:22
比MD5拉黑还是强一点

但是特征强度真的不咋地···你加个upx都有可能绕过

主要是现在卡巴很少脱壳，以前会用动启来脱壳

[病毒样本] #Fakeinstaller #Remcos (2022-02-04)

评分