关于magniber病毒

显示全部楼层 · 发表于 2022-5-19 23:52:21

Jirehlov1234 发表于 2022-5-19 23:44
没有测试机器，告辞（
没有记录说明这条没触发，交互的时候怎么可能弹窗（？）

这病毒很狡猾，你第一次被他勒索之后回滚快照再运行是不会触发勒索的，我当时hips没看到它注入的事件，更不用说去在乎受信任里的那帮程序，现在已经无法复现了，有能力的来帮忙记录下@anthonyqian

显示全部楼层 · 发表于 2022-5-19 23:52:32

00006666 发表于 2022-5-19 23:41
话说如果设置卡巴斯基应用程序控制拦截远程线程注入的话，不知道会不会有作用，卡巴斯基有用VT HOOK。

比较实用的设置可能是禁止限制组访问msiexec.exe或者禁止System*.msi文件名创建之类的，全组设禁止注入问题可能更多还不一定有用。。。。
没测试机器，谁能玩的可以试试
Maginber本身不是静默传播的，需要用户手动下载双击，能玩hips的估计也不会傻到真的跑它

显示全部楼层 · 发表于 2022-5-19 23:57:10

Jirehlov1234 发表于 2022-5-19 23:52
比较实用的设置可能是禁止限制组访问msiexec.exe或者禁止System*.msi文件名创建之类的，全组设禁止注入问 ...

代码注入似乎没法拦截，没有事件，也没有弹窗

显示全部楼层 · 发表于 2022-5-20 00:04:25

anxiety520 发表于 2022-5-19 23:57
代码注入似乎没法拦截，没有事件，也没有弹窗

那就是拦不了了

显示全部楼层 · 发表于 2022-5-20 00:06:45

本帖最后由 00006666 于 2022-5-20 00:49 编辑

编辑

显示全部楼层 · 发表于 2022-5-20 00:09:47

Jirehlov1234 发表于 2022-5-19 23:52
比较实用的设置可能是禁止限制组访问msiexec.exe或者禁止System*.msi文件名创建之类的，全组设禁止注入问 ...

用影子系统+实体机来测试magniber其实也可以。

显示全部楼层 · 发表于 2022-5-20 00:12:20

anxiety520 发表于 2022-5-19 23:52
这病毒很狡猾，你第一次被他勒索之后回滚快照再运行是不会触发勒索的，我当时hips没看到它注入的事件，更 ...

应该不会吧。。。

显示全部楼层 · 发表于 2022-5-20 00:16:24

anthonyqian 发表于 2022-5-20 00:12
应该不会吧。。。

会的，原因我不清楚，有空试一下，受信任和低限制全部要询问，卡巴现在给uds和vho了，测试要更加麻烦些

显示全部楼层 · 发表于 2022-5-20 00:17:46

anxiety520 发表于 2022-5-20 00:16
会的，原因我不清楚，有空试一下，受信任和低限制全部要询问，卡巴现在给uds和vho了，测试要更加麻烦些

如果你说的没错，我倾向于是bug，而不是有意为之

显示全部楼层 · 发表于 2022-5-20 00:37:37

anthonyqian 发表于 2022-5-20 00:17
如果你说的没错，我倾向于是bug，而不是有意为之

是，我在联系技术支持

[交流探讨] 关于magniber病毒