#Magniber (2022-07-19)

Tom179090

hushuai 发表于 2022-7-19 23:44
现在已经杀tmp了，虽然没报毒名，但八成是Trojan.Generic
我不是不信ATD现在能杀，能不能有个截图开开眼 ...

Trojan.Agent.FZIF


传说中的Gen:variant通杀一次都没见过。

QVM360

UNknownOoo 发表于 2022-7-20 12:44
智量拦截DirectSyscall之后还有报毒？按道理应该直接断了啊

可能我运行了两次

anthonyqian

ICzcz 发表于 2022-7-19 17:54
ESET在4：30回复我了

不过我很惊讶不是直接云拉黑的报法

关于_AGen，Marcos说的确是自动生成的检测~

https://forum.eset.com/topic/330 ... &comment=153456

PS，我看到Avira不止一次直接照抄了ESET的Agent_AGen这种报法，啧啧啧

Jirehlov1234

anthonyqian 发表于 2022-7-20 12:52
关于_AGen，Marcos说的确是自动生成的检测~

https://forum.eset.com/topic/33035-what-does-the-_agen ...

看vt现在似乎依然是_AGen。。。并没有变成进一步的报法

zfc234

huangzihang 发表于 2022-7-19 17:43
卧槽？？？？？
@hushuai @Tom179090

Feature:
Advanced Threat Defense

Bitdefender detected potentially malicious behavior and blocked all applications involved.
Detection ID: SuspiciousBehavior.268A21241CDC4E0F
---------------------------------------------------------------------------------------------------
Bitdefender detected potentially malicious behavior and blocked all applications involved.
Detection ID: SuspiciousBehavior.268A21241CDC4E0F
Application WmiPrvSE.exe has been detected as potentially malicious and was blocked.
Application path: C:\Windows\System32\wbem\WmiPrvSE.exe
Command line parameters: C:\WINDOWS\system32\wbem\wmiprvse.exe -secured -Embedding
Detection ID: SuspiciousBehavior.268A212479004414
----------------------------------------------------------------------------------------------------------
Yesterday at 9:29 AM

Feature:
Antivirus

Bitdefender moved a threat to quarantine. File name: C:\Users\Public\dcdhkqhru.flv. It is recommended that you run a System Scan to make sure your system is clean.

反病毒组件貌似击杀了几个随机字符组成的flv文档，应该是样本释放的吧

ICzcz

Jirehlov1234 发表于 2022-7-20 20:56
看vt现在似乎依然是_AGen。。。并没有变成进一步的报法

VT上可能放的版本比较老？

时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
2022/7/20 21:06:50;文件系统实时防护;文件;MS.Upgrade.Database\MS.Upgrade.Database.Cloud.msi;Win64/Filecoder.Magniber.B 特洛伊木马;已通过删除清除在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;299CE76D1F939AB2F424933F0C6D6A1ACFD1FE7C;2022/7/20 21:06:47

Jirehlov1234

ICzcz 发表于 2022-7-20 13:07
VT上可能放的版本比较老？

时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次 ...

我是说dll

00006666

zfc234 发表于 2022-7-20 21:03
Feature:
Advanced Threat Defense

你的测试环境(虚拟机)，如果没开防护，直接运行样本，文件会不会被加密？

zfc234

00006666 发表于 2022-7-20 21:36
你的测试环境(虚拟机)，如果没开防护，直接运行样本，文件会不会被加密？

桌面放置带一堆word文档的文件夹（我的博士毕业论文数据，刺不刺激嘻嘻），关闭antivirus组件，双击安装包，几分钟后（去茶水间接点冰水，和同事感叹一下英国这创历史新高的温度）回办公室发现BD Free开始报告ATD正在清毒，阻止了几个可疑动作，还是隔离了几个随机flv文件，然后重复几次提醒后安静，桌面上的文档没有被加密。

hushuai

Tom179090 发表于 2022-7-20 00:27
Trojan.Agent.FZIF

最近Magniber样本太少了，也并没有多fresh。
急需很多fresh的Magniber样本，用来给BD正名