#Magniber msi 1X (2022-06-03-02)

显示全部楼层 · 发表于 2022-6-3 17:34:11

本帖最后由 Kingbatsoft 于 2022-6-3 17:37 编辑

智量扫描miss
双击

哦豁，回滚没有完全成功，只有部分文件回滚成功了

再双击一遍直接回滚都没弹出

显示全部楼层 · 发表于 2022-6-3 17:35:47

360杀毒监控会隔离TMP文件，退出360杀毒

双击测试360卫士主防，成功拦截远程注入与模拟按键操作，拦截后自动结束MSI进程，无任何文件被加密

时间操作说明次数
2022-06-03 17:31:33 [自动阻止] 模拟按键防护 1 次
详细描述：
进程：C:\Windows\System32\msiexec.exe "C:\Windows\System32\msiexec.exe" /i "C:\Users\Administrator\Desktop\Security.Upgrade.Win10.0-KB4748703.msi" , (1, 24)
动作：模拟按键
路径：

复制代码

复制代码

复制代码

复制代码

显示全部楼层 · 发表于 2022-6-3 17:40:10

Kingbatsoft 发表于 2022-6-3 17:34
智量扫描miss
双击

新变种拦不住的，等智量放新版本才行

显示全部楼层 · 发表于 2022-6-3 17:41:44

本帖最后由 00006666 于 2022-6-3 17:55 编辑

编辑

显示全部楼层 · 发表于 2022-6-3 17:43:37

biue 发表于 2022-6-3 17:33
火绒

火绒特征还是坚挺

显示全部楼层 · 发表于 2022-6-3 17:46:24

大蜘蛛&安天扫描miss

显示全部楼层 · 发表于 2022-6-3 17:47:21

lvseqiji 发表于 2022-6-3 17:43
火绒特征还是坚挺

确实，已经撑过好几个版本了，但文件实时监控还是不能杀

显示全部楼层 · 发表于 2022-6-3 17:50:31

biue 发表于 2022-6-3 17:47
确实，已经撑过好几个版本了，但文件实时监控还是不能杀

因为火绒根本就不监控msi文件。估计为了性能就不加了。
火绒说下个大版本才能解决，有点服了，有这么难加吗。

显示全部楼层 · 发表于 2022-6-3 17:56:58

Norton 扫描miss
F-S 双击miss，加密得没之前快

显示全部楼层 · 发表于 2022-6-3 18:35:18

毒霸

扫描时间：[2022-06-03 18:34:45]
扫描用时：[00:00:04]
扫描类型：自定义查杀
扫描文件总数：1
扫描速度：1文件/秒
发现威胁：1个
清除威胁：1个
=============================================
[2022-06-03 18:34:56]
威胁：e:\浏览器下载\新建文件夹\security.upgrade.win10.0-kb4748703.msi/<a:compound>/binary.zb74400
类型：win64.troj.magniber.2001548
处理方式：需要处理

复制代码

[病毒样本] #Magniber msi 1X (2022-06-03-02)