RAT (4/19) x1

显示全部楼层 · 发表于 2022-4-20 18:28:34

Jirehlov1234 发表于 2022-4-20 18:23
Event: Malicious object detected
User: JIREHLOV-RESEAR\Jireh
User type: Active user

改哈希改哈希

显示全部楼层 · 发表于 2022-4-20 18:29:15

anthonyqian 发表于 2022-4-20 18:28
改哈希改哈希

还活着

显示全部楼层 · 发表于 2022-4-20 18:29:31

anthonyqian 发表于 2022-4-20 18:28
改哈希改哈希

可是还有个衍生物怎么搞

显示全部楼层 · 发表于 2022-4-20 18:32:40

swizzer 发表于 2022-4-20 18:29
可是还有个衍生物怎么搞

哪个衍生物

卡巴把衍生物也拉黑了吗

显示全部楼层 · 发表于 2022-4-20 18:33:39

anthonyqian 发表于 2022-4-20 18:32
哪个衍生物卡巴把衍生物也拉黑了吗

当然拉黑了啊

就是那个LeStore.exe

显示全部楼层 · 发表于 2022-4-20 18:38:15

anthonyqian 发表于 2022-4-20 18:28
改哈希改哈希

我的建议是，去微步再蹲一个新鲜的

显示全部楼层 · 发表于 2022-4-20 18:39:56

swizzer 发表于 2022-4-20 18:12
远控又不只有关机这一项功能

还可以收集本机信息、窃取你的文件、截图、录音···等等

插一句啊，昨天的MB样本中206.exe测试时也是会关虚拟机的，我不觉得卡巴会限制关机这一行为

显示全部楼层 · 发表于 2022-4-20 18:45:48

喜闻乐见

VT上卡巴斯基拉黑后一个多小时，卡巴、ESET的忠实追随者 McAfee拉黑

显示全部楼层 · 发表于 2022-4-20 18:50:18

swizzer 发表于 2022-4-20 18:22
反正我按默认设置测试KIS的时候没弹窗，但是也没被关机，也没看到收集文件的行为···

不是病毒差点儿遍历你的文件上传了吗，被那个破杀软拦下来了

显示全部楼层 · 发表于 2022-4-20 18:52:34

1159614431 发表于 2022-4-20 18:18
弹了一个修改注册表的，然后我去找日志居然找不到

我测试了一下，HIPS记录到了一堆事件，怎么你这边只有改注册表一样呢？

[病毒样本] RAT (4/19) x1