FakeTG 后门x3凌晨更新

huangzihang

hushuai 发表于 2022-6-17 23:56
用BD测多了你就知道了，有些时候BD不杀本体只杀衍生物

这我知道，我遇到过卡巴疯狂只杀衍生物的情况，BD还没碰到过，毕竟BD以掐断整条攻击链闻名，The PC security channel测BD的时候用来运行病毒的python脚本屡次被掐

hushuai

huangzihang 发表于 2022-6-17 10:59
这我知道，我遇到过卡巴疯狂只杀衍生物的情况，BD还没碰到过，毕竟BD以掐断整条攻击链闻名，The PC secur ...

掐断攻击链？我不止一次见到BD OTP疯狂拦截恶意网址却根本不杀本体的情况，弹窗那是根本停不下来。
最近的Fake tg也是只杀病毒本体，不像卡巴那样有时候回滚连根都给你拔没了。我觉得是之前ATD斩草除根斩的太狠了，现在要控制一下杀全家的阈值吧

huangzihang

hushuai 发表于 2022-6-18 00:05
掐断攻击链？我不止一次见到BD OTP疯狂拦截恶意网址却根本不杀本体的情况，弹窗那是根本停不下来。[:347: ...

这不正常吗难道你逛一个没有证书的网站要把你的Chrome也给隔离吗？不过我倒希望他有一个静默模式

hushuai

huangzihang 发表于 2022-6-17 11:13
这不正常吗难道你逛一个没有证书的网站要把你的Chrome也给隔离吗？不过我倒希望他有一个静默模式

我说的这种是很明显的木马连接宿主机的特征，木马进程只试图连接几个宿主机网址，木马本身也没有签名，这么明显的特征ATD不应该分辨不出来吧
这要是有静默模式怕是log文件会爆炸的

huangzihang

hushuai 发表于 2022-6-18 00:22
我说的这种是很明显的木马连接宿主机的特征，木马进程只试图连接几个宿主机网址，木马本身也没有签名，这 ...

卡巴也有过类似的问题，我有一次安装一个flash中心（国内特色你懂的）每次一重启卡巴BD就报，删了后下次重启又报，释放这个文件的程序显然没有被删，我后面整烦了拿个空文件重命名塞那个目录下才解决的

hushuai

huangzihang 发表于 2022-6-17 11:25
卡巴也有过类似的问题，我有一次安装一个flash中心（国内特色你懂的）每次一重启卡巴BD就报，删了后下次 ...

BD那几次是连进程都没杀，我就在那一直放着看它啥时候把病毒进程结束了，放了20分钟BD还在那弹，我索性就自己把病毒进程结束了才消停

huangzihang

hushuai 发表于 2022-6-18 00:35
BD那几次是连进程都没杀，我就在那一直放着看它啥时候把病毒进程结束了，放了20分钟BD还在那弹，我索性就 ...

有一次诺顿也一直弹网络攻击拦截（虚拟机运行样本miss了在疯狂外联），也没有把vmware给我掐了，目测OTD也一样不会掐进程，卡巴的网络攻击防护或者防火墙应该也不会掐（唯一的区别可能是截获之后会自动禁止一个小时）这应该是流量扫描的逻辑（比如拦截下载而非结束浏览器）

但是根据我测这么久的情况，Sonar不清楚因为这玩意就没触发过几次，但是基本上一旦触发的不是OTD而是ATD或者PDM，卡巴和BD都是一样把根给拔了。

hushuai

huangzihang 发表于 2022-6-17 11:41
有一次诺顿也一直弹网络攻击拦截（虚拟机运行样本miss了在疯狂外联），也没有把vmware给我掐了，目测OTD ...

ATD工作了那证明病毒在本地有恶意操作，那肯定大杀特杀，但这种木马第一时间会试图连接宿主机，连接不上就不会有下一步动作，也不会试图插入到系统进程实现持久化。这种情况我觉得应该在病毒访问同一个或几个恶意IP后限制进程对于网络的访问，而不是拼了命的弹窗拦截

huangzihang

hushuai 发表于 2022-6-18 00:52
ATD工作了那证明病毒在本地有恶意操作，那肯定大杀特杀，但这种木马第一时间会试图连接宿主机，连接不上 ...

咱就是说有没有这种可能：卡巴PDM也不杀也会一直弹呢

hushuai

huangzihang 发表于 2022-6-17 11:55
咱就是说有没有这种可能：卡巴PDM也不杀也会一直弹呢

最近几个月我没碰到过这种情况，但是BD最近我可是碰到三四次了