疑似免杀后门 1X

00006666

360拦截远程线程注入     (这个样本的行为要等很久才会出来)

1. 时间        操作        说明        次数
   
2. 2022-06-16 12:58:09        [已阻止]          远程线程注入        防护 1 次
   
3. 详细描述：
   
4. 进程：C:\Users\Administrator\Desktop\邮件助手1.0.exe
   
5. 动作：远程线程注入
   
6. 路径：C:\Windows\System32\dllhost.exe
   
7. 风险文件：C:\Users\Administrator\Desktop\邮件助手1.0.exe
   
8. 防护信息: AD|30, 30, -1||
   

复制代码

1. 时间        操作        说明        次数
   
2. 2022-06-16 12:59:36        [已阻止]          远程线程注入        防护 1 次
   
3. 详细描述：
   
4. 进程：C:\Users\Administrator\Desktop\邮件助手1.0.exe
   
5. 动作：远程线程注入
   
6. 路径：C:\Windows\System32\dllhost.exe
   
7. 风险文件：C:\Users\Administrator\Desktop\邮件助手1.0.exe
   
8. 防护信息: AD|30, 30, -1||
   

复制代码

zkr090612

360杀毒扫描日志

病毒库版本：
扫描时间：2022-06-16 13:41:39
扫描用时：00:00:01
扫描类型：右键扫描
扫描文件总数：1
项目总数：0
清除项目数：0

扫描选项
----------------------
扫描所有文件：否
扫描压缩包：否
发现病毒处理方式：由用户选择处理
扫描磁盘引导区：是
扫描 Rootkit：否
使用云查杀引擎：是
使用QVM人工智能引擎：是
扫描建议修复项：是
常规引擎设置：

扫描内容
----------------------
C:\Users\Default\Desktop\邮件助手1.0.exe


白名单设置
----------------------


扫描结果
======================
未发现威胁文件

wwwab

zkr090612 发表于 2022-6-16 13:42
360杀毒扫描日志

病毒库版本：

都跑出来注入了，360竟然还没自动上传查杀@00006666

难不成是云端认为文件没问题？

zkr090612

wwwab 发表于 2022-6-16 13:44
都跑出来注入了，360竟然还没自动上传查杀@00006666

难不成是云端认为文件没问题？

我也很奇怪，应该不会吧@360主动防御

swizzer

双击后等待半个小时有余，仍未见注入行为发生。。

wwwab

swizzer 发表于 2022-6-16 14:06
双击后等待半个小时有余，仍未见注入行为发生。。

360火绒都跑出来了

swizzer

重置虚拟机双击，确认样本可以正常发作。与此同时智量主防未拦截ShellCode加载行为。
但是实体机上可以拦截···莫非存在虚拟机检测？

@智量官方
  







HMPA拦截。

wwwab

swizzer 发表于 2022-6-16 14:28
重置虚拟机双击，确认样本可以正常发作。与此同时智量主防未拦截ShellCode加载行为。

@智量官方

非常免杀，没骗你吧，

而且换句话说，能触发火绒主防恰恰说明样本质量不到位。。

智量官方太难堪了，质量不到位的样本完全一路通过了智量

swizzer

edited

wwwab

swizzer 发表于 2022-6-16 14:32
质量不到位的样本过掉智量又不是什么值得惊讶的事情

我记得智量之前cs还是shellcode优化过一次主防模型？怎么又给过掉了