Magniber X1

显示全部楼层 · 发表于 2022-5-9 23:09:18

本帖最后由 megakotaro 于 2022-5-9 23:18 编辑

用線上Youtube下載工具下載影片，一個是轉換的影片，另一個疑似勒索病毒
在Any Run用Win7系統執行沒有發現勒索行為
樣本很新，Virustotal是第一個上傳的
這一波Magniber滲透得很迅速

密碼：infected

VirusTotal - File - 50e1387078955b69ab956d0f81e935ab6ac9c0260131dd4fa2d3199b681750ee
Intezer Analyze – Security analysts' trusted advisor
MS.System.Critical.Update.Win10.0-KB17753003.msi (MD5: F664BD350FE4DE5D2D003DAEB9B4FDF4) - Interactive analysis - ANY.RUN
Free Automated Malware Analysis Service - powered by Falcon Sandbox (hybrid-analysis.com)
Kaspersky Threat Intelligence Portal

公司使用MES，回報給McAfee，避免同仁不小心點到

McAfee Labs - Beaverton
Current Scan Engine Version:6100.8979
Current DAT Version:10342.0000
Thank you for your submission.

Analysis ID: 11102971

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
ms.system.critical.u|inconclusive | | |no

inconclusive [ms.system.critical.update.win10.0-kb17753003.msi]

Automated analysis was not able to determine that this file is malware. This file is
being sent for further processing and the DAT files will potentially be updated if
detection of this sample is warranted.

Note –

Due to the prevalence of network gateway AV products, it is important that all
submissions be zipped and the zip file password-protected (password - infected). Some
products will reject an email that contains a virus that is not sent in this way. In
addition, often we receive a file that appears not to have been infected, to find
later that the file was infected when it left the sender, and was cleaned somewhere
along the line.

Regards,

McAfee Labs

显示全部楼层 · 发表于 2022-5-9 23:16:34

本帖最后由 anthonyqian 于 2022-5-10 00:19 编辑

ESET

MD5拉黑厂商集体阵亡

——————

还有。。。没必要单独邮件上报咖啡，反正传到VT上其他厂商拉黑咖啡都会跟着拉黑的

显示全部楼层 · 发表于 2022-5-9 23:42:58

360 miss ，双击报可疑拦截

显示全部楼层 · 发表于 2022-5-9 23:59:07

卡巴启发杀，准确识别Magniber

显示全部楼层 · 发表于 2022-5-10 00:08:01

BD对Magniber防御就这样了，没入库的话，ATD杀了，文件被加密了，反勒索装死。
关键还是云杀启发杀没卡巴快，卡巴主防一样防不住

显示全部楼层 · 发表于 2022-5-10 00:16:24

本帖最后由 aboringman 于 2022-5-10 00:56 编辑

360：miss

双击，第一次杀毒杀tmp并触发卫士执行监控杀本体。（粗略看了一下，没有文件被加密）

第二次已有分类，也已经可以通过扫描检出。

显示全部楼层 · 发表于 2022-5-10 00:20:55

hushuai 发表于 2022-5-10 00:08
BD对Magniber防御就这样了，没入库的话，ATD杀了，文件被加密了，反勒索装死。
关键还是云杀启发杀没卡巴 ...

卡巴对这个系列早就可以本地启发杀咯

显示全部楼层 · 发表于 2022-5-10 00:23:11

anthonyqian 发表于 2022-5-9 11:20
卡巴对这个系列早就可以本地启发杀咯

之前有个样本，我用半个月前的卡巴病毒库，卡巴扫描不报，双击跟BD差不多，主防杀了，回滚了，文件被加密了

显示全部楼层 · 发表于 2022-5-10 00:25:51

hushuai 发表于 2022-5-10 00:23
之前有个样本，我用半个月前的卡巴病毒库，卡巴扫描不报，双击跟BD差不多，主防杀了，回滚了，文件被加密 ...

半个月太早。从4/29开始卡巴可以本地杀了

显示全部楼层 · 发表于 2022-5-10 00:28:42

火绒

[病毒样本] Magniber X1

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源