Rootkit #CVE-2015-2291

显示全部楼层 · 发表于 2022-6-21 17:25:13

wowocock 发表于 2022-6-21 17:16
急救箱是被针对的最狠，记得当年暗云3刚出来的时候，横扫一片，谁都不针对，就针对急救箱驱动处理。搞的 ...

急救箱太有名了，然后技术又够强，就容易被针对，不针对急救箱的话那些木马驱动没办法存活……，做内核对抗确实挺辛苦的

显示全部楼层 · 发表于 2022-6-21 17:56:24

本帖最后由 anthonyqian 于 2022-6-21 18:05 编辑

Avira 扫描 missed.

Dropped的sys

c2629f0b04480eca31f13bb718b76f275d4e02c834a25d7e2e657765286025bb - TR/Taohuawu.A

4d3bb13f1f2fa48f6943a577b0a240d978963d8723491a7ef4b093c587d9c209 - TR/Agent.elzzu

显示全部楼层 · 发表于 2022-6-21 17:56:25

Microsoft Defender
84ed7fec67de5621806dbb43af5167a5fc60ab7f2403448519dc0eca2b8f9022.exe - Trojan:Win32/Wacatac.B!ml
剩余一个双击Miss

显示全部楼层 · 发表于 2022-6-21 19:24:32

Kaspersky 拉黑

显示全部楼层 · 发表于 2022-6-21 19:48:21

kuroandsan 发表于 2022-6-21 14:49
Norton 扫描1x

你是怎么做大界面又是中文又是英文的

显示全部楼层 · 发表于 2022-6-21 19:51:47

显示全部楼层 · 发表于 2022-6-21 20:26:50

lvseqiji 发表于 2022-6-21 16:52
360这种大公司都人力不足？

安全方面主要都都在B端和G端吧，C端估计没留多少人在；有些人在维护就不错了，看看瑞星C端就1个人在负责引擎维护更新，病毒样本入库；江民直接就0人

显示全部楼层 · 发表于 2022-6-21 20:26:52

swizzer 发表于 2022-6-21 14:30
管理员身份运行，样本成功加载驱动，智量主防无反应。

非管理员身份运行，智量内存防护识别为 MEMRAY:Ma ...

翻了下我以前发的帖子 https://bbs.kafan.cn/thread-2233222-1-1.html

除了驱动不一样，其他的没什么区别，也是用这个漏洞加载驱动，这个家族持续更新时间挺长的……

显示全部楼层 · 发表于 2022-6-21 20:28:51

本帖最后由 00006666 于 2022-6-21 20:30 编辑

lvzhiwei 发表于 2022-6-21 20:26
安全方面主要都都在B端和G端吧，C端估计没留多少人在；有些人在维护就不错了，看看瑞星C端就1个人在负责 ...

病毒样本入库这个方面应该B端跟C端都要做的吧……，他们应该都是同一个地方来处理样本的，不至于分开……

显示全部楼层 · 发表于 2022-6-21 20:31:28

00006666 发表于 2022-6-21 20:28
病毒样本入库这个方面应该B端跟C端都要做的吧……

这就不知道了，这个是瑞星那位忠实粉trumping在4月份的时候说的。当时是周末有人测V17样本扫描MISS,，然后他不是经常说窒息云吗，就有人问他是什么原因，他自己说的V17，安全云终端等就1个人在负责什么引擎维护，病毒样本入库什么的

[病毒样本] Rootkit #CVE-2015-2291

本帖子中包含更多资源

本帖子中包含更多资源