病毒样本测试包-20220329期-29X

11111111111445

话说我现在测试是不是有点多余了...

wwwab

anthonyqian 发表于 2022-3-31 20:15
本地链接

这个lnk里面肯定有URL，你用记事本打开看看？

wwwab

eset把321.exe和987同一个报毒名称
卡巴把987和jdivip同一个报毒名称
我也感觉这3文件同源性行为相似度非常高

jdivip双击后释放的一个lnk就又是高同源性行为高相似度

anthonyqian

wwwab 发表于 2022-3-31 20:19
这个lnk里面肯定有URL，你用记事本打开看看？

[InternetShortcut]
URL=file:///C:/ProgramData/jdivip.exe
IDList=
HotKey=0
[{000214A0-0000-0000-C000-000000000046}]
Prop3=19,9

wwwab

anthonyqian 发表于 2022-3-31 20:35

可能他用的URL语法不是文件语法，jdivip又刚好是恶意软件而且还在C:/ProgramData目录下面，也可以入库的吧，一般情况下又不会误报的

anthonyqian

wwwab 发表于 2022-3-31 20:37
可能他用的URL语法不是文件语法，jdivip又刚好是恶意软件而且还在C:/ProgramData目录下面，也可以入库的 ...

嗯，主要是不入库问题也不大。这种快捷方式铁壳应该是直接当作threat artifact处理的

anthonyqian

怎么没人测MD，

MD现在还是只杀了两个。2/29

lvzhiwei

anthonyqian 发表于 2022-4-1 18:47
怎么没人测MD，

MD现在还是只杀了两个。2/29

是不是没人上报的原因，江民都能查出4个

wwwab

anthonyqian 发表于 2022-4-1 18:47
怎么没人测MD，

MD现在还是只杀了两个。2/29

微软（分开上传1包分6个文件）：

We have reviewed the files and added malware detections for them to the next definition update.

To help with further analysis, Could you please help us with the below mentioned information regarding the file:  - Exact scenario present at customer end - Source of the file - Any other details which will be helpful in analysis.

svchost.txt被标记为Threat Related