#Magniber msi 1X (2022-05-27-01)

显示全部楼层 · 发表于 2022-5-27 15:51:12

本帖最后由 a286282313 于 2022-5-27 15:54 编辑

Avast: Other:Malware-gen [Trj]

显示全部楼层 · 发表于 2022-5-27 16:05:29

火绒双击拦截，没有文件被加密

显示全部楼层 · 发表于 2022-5-27 16:21:36

bananas12138 发表于 2022-5-27 16:05
火绒双击拦截，没有文件被加密

火绒不是监控对msi漏毒嘛。。

显示全部楼层 · 发表于 2022-5-27 16:25:14

小蜘蛛扫描挂了，实机不双击了。这个作者好勤快，是缺钱吗哈哈哈！！

显示全部楼层 · 发表于 2022-5-27 17:02:55

这版是真的猛。加密主体变成了rdpclip.exe。我那个HIPS规则针对这个更新了https://bbs.kafan.cn/thread-2235504-1-1.html

显示全部楼层 · 发表于 2022-5-27 17:08:55

Jirehlov1234 发表于 2022-5-27 17:02
这版是真的猛。加密主体变成了rdpclip.exe。我那个HIPS规则针对这个更新了https://bbs.kafan.cn/thread-223 ...

我咋感觉这版是随便疯狂注入的

显示全部楼层 · 发表于 2022-5-27 17:12:52

本帖最后由多变的风向于 2022-5-27 21:46 编辑

更新FS报木马

显示全部楼层 · 发表于 2022-5-27 17:14:37

本帖最后由 00006666 于 2022-5-27 21:15 编辑

编辑

显示全部楼层 · 发表于 2022-5-27 17:22:21

本帖最后由 bananas12138 于 2022-5-27 17:26 编辑

jacksonsc 发表于 2022-5-27 16:21
火绒不是监控对msi漏毒嘛。。

不知道为啥
病毒名称：Trojan/W64.Injector.y
病毒ID：1A8B87E79D1762B0
病毒路径：C:\Windows\Installer\MSIC4D.tmp
操作类型：执行
操作结果：已处理

进程ID：4944
操作进程：C:\Windows\System32\msiexec.exe
操作进程命令行：C:\Windows\System32\MsiExec.exe -Embedding F2BAC7B372318848CDAF95144793B540
父进程：C:\Windows\System32\msiexec.exe

显示全部楼层 · 发表于 2022-5-27 17:26:11

wwwab 发表于 2022-5-27 09:08
我咋感觉这版是随便疯狂注入的

不是的。不过如果怕这种改变加密主体的情况，可以对所有程序禁止读那个键值，不过这样加密函数就谁都用不了了。。。。

[病毒样本] #Magniber msi 1X (2022-05-27-01)

本帖子中包含更多资源

本帖子中包含更多资源