楼主: Jirehlov1234
收起左侧

[病毒样本] #Magniber cpl扩展名

  [复制链接]
pal家族
发表于 2022-8-1 08:24:55 | 显示全部楼层
可别说火绒了
卡巴不也一样
几十兆的msi 默认监控就是不扫描的啊 必须要手动扫描或者双击才能检测
00006666
发表于 2022-8-1 08:30:38 | 显示全部楼层
wwwab 发表于 2022-8-1 08:19
之前msi也是这问题,然后后来也没支持msi不过支持了后面释放的tmp然后可以处理了

现在又换成cpl换后缀 ...

以前实时监控面对MSI是不能报毒,这个是能报毒但是没拦住……
wwwab
发表于 2022-8-1 08:39:36 | 显示全部楼层
00006666 发表于 2022-8-1 08:30
以前实时监控面对MSI是不能报毒,这个是能报毒但是没拦住……

这个不管是操作进程父进程(竟然是rundll32),还是命令行删除卷影还原点,和原来完全不一样....
00006666
发表于 2022-8-1 08:41:29 | 显示全部楼层
wwwab 发表于 2022-8-1 08:39
这个不管是操作进程父进程(竟然是rundll32),还是命令行删除卷影还原点,和原来完全不一样....

和以前还是一样的是用系统直接调用来注入,注入系统进程来加密文档
wwwab
发表于 2022-8-1 08:43:52 | 显示全部楼层
00006666 发表于 2022-8-1 08:41
还是一样用系统直接调用来注入,注入系统进程来加密文档

注入又不是谁都能拦的

而且火绒的注入和勒索通杀特征依旧没过仍然依然有效
00006666
发表于 2022-8-1 08:47:08 | 显示全部楼层
wwwab 发表于 2022-8-1 08:43
注入又不是谁都能拦的(

而且火绒的注入和勒索通杀特征依旧没过仍然依然有效

研究防注入比较靠谱,不然下次Magniber又改个扩展名,一样还是防不住……
wwwab
发表于 2022-8-1 08:55:39 | 显示全部楼层
00006666 发表于 2022-8-1 08:47
研究防注入比较靠谱,不然下次Magniber又改个扩展名,一样还是防不住……

主防大厂(bd微软)都躺平了,全靠扫描去拉黑
火绒工程师
发表于 2022-8-1 10:11:24 | 显示全部楼层
1094947421 发表于 2022-8-1 07:55
企业版也一样

然后一直在弹

您好,您可以留一下您的QQ,或者麻烦您添加QQ284816209(备注帖子链接),加您QQ详细沟通看下~
123456aaaafsdeg
发表于 2022-8-1 10:55:27 | 显示全部楼层

2345能kill all?
00006666
发表于 2022-8-1 11:16:22 | 显示全部楼层

红伞引擎会报,2345有OEM红伞,扫描不会很差
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 17:32 , Processed in 0.096908 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表