#Magniber msi 1X (2022-05-23-01)

显示全部楼层 · 发表于 2022-5-23 15:09:06

Jirehlov1234 发表于 2022-5-23 01:42
这堆是注入后的善后工作，加密还是靠msiexec。看来atd还是不敢直接杀msiexec。

根据这篇文章 https://unsafe.sh/go-112542.html 分析，加密动作应该是通过regsvr32.exe注入dll执行的，通过fodhelper.exe修改文件后缀名的操作也阻止了，然鹅结果还是被加密，看来ATD还是漏了关键的某一步

显示全部楼层 · 发表于 2022-5-23 15:20:43

本帖最后由 00006666 于 2022-5-23 15:26 编辑

lvseqiji 发表于 2022-5-23 14:40
真的服这些大厂了，加个针对magniber的规则会死吗
这个毒并不是完全就不能行为识别啊，智量早就加 ...

360那边是通过识别注入后就直接结束进程来防护的 https://bbs.kafan.cn/thread-2235474-1-1.html

拦截远程线程注入来识别样本好像也比较靠谱（不过360是能直接识别到原始MSI文件，而非msiexec.exe）

显示全部楼层 · 发表于 2022-5-23 15:36:16

AVG解压自动处理1X

显示全部楼层 · 发表于 2022-5-23 15:37:35

00006666 发表于 2022-5-23 15:20
360那边是通过识别注入后就直接结束进程来防护的 https://bbs.kafan.cn/thread-2235474-1-1.html

拦截 ...

有没有人试试win7装个卡巴2010 看看能不能拦截magni

显示全部楼层 · 发表于 2022-5-23 15:45:55

WD压缩包落地杀。

显示全部楼层 · 发表于 2022-5-23 16:03:01

hushuai 发表于 2022-5-23 15:09
根据这篇文章 https://unsafe.sh/go-112542.html 分析，加密动作应该是通过regsvr32.exe注入dll执行的， ...

并不是。fodhelper只是拿来绕过UAC

显示全部楼层 · 发表于 2022-5-23 16:07:05

pal家族发表于 2022-5-23 15:37
有没有人试试win7装个卡巴2010 看看能不能拦截magni

Magniber的msi好像只能在Windows 10以上运行

显示全部楼层 · 发表于 2022-5-23 16:08:23

hushuai 发表于 2022-5-23 13:58
这回我开了虚拟化，又放了200多张图片，依然秒加密

请善用论坛编辑功能

显示全部楼层 · 发表于 2022-5-23 16:29:30

BEST MISS
上传沙盒检测中

显示全部楼层 · 发表于 2022-5-23 17:25:00

毒霸

扫描时间：[2022-05-23 17:24:22]
扫描用时：[00:00:05]
扫描类型：自定义查杀
扫描文件总数：1
扫描速度：1文件/秒
发现威胁：1个
清除威胁：1个
=============================================
[2022-05-23 17:24:41]
威胁：e:\浏览器下载\勒索病毒样本-52pojie\system.upgrade.win10.0-kb32313292.msi/<a:compound>/binary.d7i13zq435
类型：win64.troj.magniber.2001548
处理方式：需要处理

复制代码

[病毒样本] #Magniber msi 1X (2022-05-23-01)