#Gozi #Ursnif

显示全部楼层 · 发表于 2022-2-10 23:10:27

智量，最新毒库
扫描杀image1.dll
使用rundll32.exe的DllRegisterServer参数运行image.dll：
拦截了网址，随后rundll32.exe被内存杀，但是注入的iexplore.exe仍在运行

显示全部楼层 · 发表于 2022-2-10 23:12:54

本帖最后由 swizzer 于 2022-2-10 23:39 编辑

QVM360 发表于 2022-2-10 23:10
智量，最新毒库
扫描杀image1.dll
使用rundll32.exe的DllRegisterServer参数运行image.dll：

这里并不是注入哦

@智量官方

显示全部楼层 · 发表于 2022-2-10 23:14:44

swizzer 发表于 2022-2-10 23:12
也许还没注入呢

@智量官方

肯定注入了，看anyrun
都是iexplore.exe执行的恶意行为

显示全部楼层 · 发表于 2022-2-10 23:15:50

BEST ALL

显示全部楼层 · 发表于 2022-2-10 23:26:11

本帖最后由 swizzer 于 2022-2-10 23:48 编辑

QVM360 发表于 2022-2-10 23:14
肯定注入了，看anyrun
都是iexplore.exe执行的恶意行为

#Ursnif是把收集到的信息拼成这样的字符串然后通过调用COM组件执行IE，借IE把这些信息外传出去。并不是注入了IE。

显示全部楼层 · 发表于 2022-2-10 23:31:43

SecureAPlus 本地apex kill1x(image1.dll)，上传UAV kill1x(image.dll)

显示全部楼层 · 发表于 2022-2-11 01:46:19

Norton：

2022/2/11 1:45:18,高,检测到 image1.dll (Heur.AdvML.B) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,已执行威胁操作: 1
2022/2/11 1:45:18,高,检测到 image1.dll (Trojan.Gen.2) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,已执行威胁操作: 1
2022/2/11 1:45:14,高,检测到 image.dll (Heur.AdvML.B) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,已执行威胁操作: 1

复制代码

[病毒样本] #Gozi #Ursnif