楼主: biue
收起左侧

[病毒样本] Magniber

  [复制链接]
wwwab
发表于 2022-7-2 18:18:10 | 显示全部楼层
00006666 发表于 2022-7-2 11:51
火绒是解包查杀里面的TMP,然后把整个MSI一起清除

直接解包msi只能获得里面的binary和digital signature文件

目前可以确定的是,卡巴斯基之前的HEUR的Magniber通杀,以及金山毒霸,都是查杀的这个病毒的msi进制文件binary,360到后面好像也见过解包msi杀binary的例子

eset直接把Magniber解包后的专属digital signature文件也给通杀了

所以Magniber的特殊性,免杀做得越好,也就越加无法判断杀软的通杀特征到底在哪里,除非杀软自己写出来,然而火绒不会写

如果是tmp,那就是个新思路,不过得跑虚拟沙盒跑出来吧,报毒名字没虚拟沙盒,扫描速度也不慢。难不成是解密了msi?

而且火绒那个报毒名称,同一个Magniber的dll msi tmp都是同一个通用的通杀报毒名称,还真不一定猜得到通杀的哪个地方,反而不写出来可能就是最难搞免杀的杀软之一了
Jirehlov1234
发表于 2022-7-2 18:29:50 | 显示全部楼层
wwwab 发表于 2022-7-2 10:18
直接解包msi只能获得里面的binary和digital signature文件

目前可以确定的是,卡巴斯基之前的HEUR的Ma ...
所以Magniber的特殊性,免杀做得越好,也就越加无法判断杀软的通杀特征到底在哪里,除非杀软自己写出来

有没有一种可能,免杀是刻意的,但效果是随缘的(
不过可以通过赎金渠道问问作者打不打算免杀火绒(x)
至于签名的话其实他们把签名丢掉就能彻底免杀eset了(
wwwab
发表于 2022-7-2 18:31:15 | 显示全部楼层
Jirehlov1234 发表于 2022-7-2 18:29
有没有一种可能,免杀是刻意的,但效果是随缘的(
不过可以通过赎金渠道问问作者打不打算免杀火绒(x ...
不过可以通过赎金渠道问问作者打不打算免杀火绒

当心他以为你在套路他
00006666
发表于 2022-7-2 18:35:24 | 显示全部楼层
wwwab 发表于 2022-7-2 18:18
直接解包msi只能获得里面的binary和digital signature文件

目前可以确定的是,卡巴斯基之前的HEUR的Ma ...

我个人觉得,查杀TMP的可能性最高
wwwab
发表于 2022-7-2 18:38:11 | 显示全部楼层
00006666 发表于 2022-7-2 18:35
我个人觉得,查杀TMP的可能性最高

那是咋查杀tmp的?虚拟沙盒(应该好像没有用到吧)还是解密
00006666
发表于 2022-7-2 18:40:12 | 显示全部楼层
本帖最后由 00006666 于 2022-7-2 18:41 编辑
wwwab 发表于 2022-7-2 18:38
那是咋查杀tmp的?虚拟沙盒(应该好像没有用到吧)还是解密

咋查杀的我不知道也猜不了,得去问火绒工程师,但是之前双击然后TMP注入的时候,火绒报的就是这个TMP,报毒名也带注入,跟外面报MSI的是一样的,所以我认为查杀TMP的可能性比较高
wwwab
发表于 2022-7-2 18:42:26 | 显示全部楼层
00006666 发表于 2022-7-2 18:40
咋查杀的我不知道也猜不了,得去问火绒工程师,但是之前双击然后TMP注入的时候,火绒报的就是这个TMP,报 ...

火绒那个报毒名称,同一个Magniber的dll msi tmp都是同一个通用的通杀报毒名称,还真不一定猜得到通杀的哪个地方

单凭这个无法下结论你也不知道是不是有共性被通杀掉了
00006666
发表于 2022-7-2 18:52:39 | 显示全部楼层
wwwab 发表于 2022-7-2 18:42
火绒那个报毒名称,同一个Magniber的dll msi tmp都是同一个通用的通杀报毒名称,还真不一定猜得到通杀的 ...

这倒确实,本身我对火绒也不太了解
wwwab
发表于 2022-7-2 18:56:35 | 显示全部楼层
00006666 发表于 2022-7-2 18:52
这倒确实,本身我对火绒也不太了解

了解你也不知道

而且一个被通杀的报毒名称同时命中同一个同一种病毒的多个模块组件不是很正常,有的时候会有共性的特征,eset和火绒在这方面可能更容易被遇见
paimon
发表于 2022-7-3 00:29:02 | 显示全部楼层
韩文网站?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 11:51 , Processed in 0.109411 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表