#IcedID(2022-02-16)

swizzer

https://funami.lanzouw.com/iS6i2007kzud

那个lnk不是恶意的，检查的时候忘记剔除掉了···


FSP killed all.

ICzcz

ESET

1. 时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
   
2. 2022/2/17 14:41:43;文件系统实时防护;文件;StolenImages_Evidence\845120.dll;Win64/GenKryptik.FQYI 特洛伊木马 的变量;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;227CDDA1F7461D28213CD04446BCE3550121CCD6;2022/2/17 14:41:39
   
3. 2022/2/17 14:41:48;文件系统实时防护;文件;StolenImages_Evidence\986542.dll;Win64/Packed.VMProtect.L 可疑应用程序 的变量;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;4163A19274BCCE39DAD861FD4F6DF1694E5C1D38;2022/2/17 14:41:39
   
4. 2022/2/17 14:41:48;文件系统实时防护;文件;StolenImages_Evidence\965320..dll;Win64/GenKryptik.FQYI 特洛伊木马 的变量;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;F80E149E3196820863BB446E6BFF9D1D0EDDBE90;2022/2/17 14:41:39
   
5. 2022/2/17 14:41:48;文件系统实时防护;文件;StolenImages_Evidence\485120.dll;Win64/GenKryptik.FQYI 特洛伊木马 的变量;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;1EA3553770C5997920EF408208B563164E3D3AE0;2022/2/17 14:41:39
   

复制代码

Jirehlov1234

swizzer

485120.dll的检出情况



我是真怀疑有些厂商鼓吹的机器学习是干嘛的···resource里加点白文件的版本信息就能绕过

hyx2230

火绒kill all

心心相印

bd余4x

761773275

SOPHOS MISS ALL

761773275

swizzer 发表于 2022-2-17 14:49
485120.dll的检出情况

有没有可能，只是可能机器学习认为这是白文件的可能性更大

anthonyqian

F-S + SEP
扫描 剩一个 965320..dll ，执行被SEP的入侵防护拦截了

重启了下发现 965320..dll 也被杀了，报TR/Dropper.Gen

swizzer

761773275 发表于 2022-2-17 15:16
有没有可能，只是可能机器学习认为这是白文件的可能性更大

问题是这仅仅是把ESET的版本信息写进了资源里就绕过了大部分ML，核心代码一点没变，这未免也太容易了一点