收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 #Magniber msi 1X (2022-05-27-01)
12345678910... 14下一页
返回列表 发新帖
楼主: wwwab
 收起左侧

[病毒样本] #Magniber msi 1X (2022-05-27-01)

  [复制链接]
00006666
发表于 2022-5-27 17:33:14 | 显示全部楼层
Jirehlov1234 发表于 2022-5-27 17:26
不是的。不过如果怕这种改变加密主体的情况,可以对所有程序禁止读那个键值,不过这样加密函数就谁都用不 ...

注入行为好像是这个家族目前来看比较普遍的特征。
回复

举报

00006666
发表于 2022-5-27 17:46:44 | 显示全部楼层
本帖最后由 00006666 于 2022-5-27 17:50 编辑

因为已经被360通过HASH云拉黑

通过MSI文件改哈希,TMP文件加入信任区的方式进行主防测试,此时实时监控已经不再报毒,主动防御成功拦截远程线程注入,无任何文件被加密,目前这个家族的所有变种应该都有这个远程线程注入行为。

TMP文件加入信任区



主防成功拦截远程线程注入,拦截后自动结束进程,无任何文件被加密







  1. 时间        操作        说明        次数
  2. 2022-05-27 17:39:25        [已阻止]          远程线程注入        防护 1 次
  3. 详细描述:
  4. 进程:C:\Windows\System32\msiexec.exe
  5. 动作:远程线程注入
  6. 路径:C:\Windows\System32\sihost.exe
  7. 风险文件:C:\Users\Administrator\Desktop\27d1053_plus_10_bytes.msi
  8. 防护信息: AD|40, 40, -1||
复制代码
  1. 时间        操作        说明        次数
  2. 2022-05-27 17:39:34        [已阻止]          远程线程注入        防护 1 次
  3. 详细描述:
  4. 进程:C:\Windows\System32\msiexec.exe
  5. 动作:远程线程注入
  6. 路径:C:\Windows\System32\svchost.exe
  7. 风险文件:C:\Users\Administrator\Desktop\27d1053_plus_10_bytes.msi
  8. 防护信息: AD|40, 40, -1||
复制代码
  1. 时间        操作        说明        次数
  2. 2022-05-27 17:39:34        [自动处理]          结束进程        防护 1 次
  3. 详细描述:
  4. 进程:C:\Windows\System32\msiexec.exe 13E5846A
复制代码

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

JuMin
发表于 2022-5-27 17:56:24 | 显示全部楼层
jacksonsc 发表于 2022-5-27 16:21
火绒不是监控对msi漏毒嘛。。

我这里双击后全部被加密
回复

举报

00006666
发表于 2022-5-27 18:09:43 | 显示全部楼层
Jirehlov1234 发表于 2022-5-27 17:02
这版是真的猛。加密主体变成了rdpclip.exe。我那个HIPS规则针对这个更新了https://bbs.kafan.cn/thread-223 ...

有条件的话,你那里最好试试单独使用应用程序控制能不能识别到注入行为,有预感那个拦截规则可能没有作用……,最好测试一下。
回复

举报

Jirehlov1234
发表于 2022-5-27 18:40:50 | 显示全部楼层
00006666 发表于 2022-5-27 10:09
有条件的话,你那里最好试试单独使用应用程序控制能不能识别到注入行为,有预感那个拦截规则可能没有作用 ...

看了一下,重启之后被破阵了,得在svhost的位置就拦下了才可以,等会改进一下。
我不想管注入,一方面能拦的hips不多,一方面误报可太高了
回复

举报

00006666
发表于 2022-5-27 19:24:51 | 显示全部楼层
本帖最后由 00006666 于 2022-5-27 19:27 编辑
Jirehlov1234 发表于 2022-5-27 18:40
看了一下,重启之后被破阵了,得在svhost的位置就拦下了才可以,等会改进一下。
我不想管注入,一 ...

好像加密行为可能有sihost.exe参与。
回复

举报

swizzer
发表于 2022-5-27 19:34:56 | 显示全部楼层
Jirehlov1234 发表于 2022-5-27 17:02
这版是真的猛。加密主体变成了rdpclip.exe。我那个HIPS规则针对这个更新了https://bbs.kafan.cn/thread-223 ...



sihost也会参与加密的。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

00006666
发表于 2022-5-27 19:38:06 | 显示全部楼层
swizzer 发表于 2022-5-27 19:34
sihost也会参与加密的。

sihost.exe会参与的话,好像除了拦截注入就无解了………
回复

举报

Jirehlov1234
发表于 2022-5-27 19:41:28 | 显示全部楼层
swizzer 发表于 2022-5-27 11:34
sihost也会参与加密的。

其实还有explorer.exe。重启后除非白名单不然没法拦。我得换个思路。。。
回复

举报

11111111111445
发表于 2022-5-27 20:14:01 | 显示全部楼层
drweb扫描 miss
回复

举报

下一页 »
12345678910... 14下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-20 20:09 , Processed in 0.086415 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表