数签远控 Farfli/Zegost dll 1X

显示全部楼层 · 发表于 2022-8-3 16:26:14

数字签名：

发帖前vt只有4家报毒：
检测到恶意数据包：
rundll32应该可以运行，rundll32带不同参数执行了11次，同样样本外联了11次：

发帖前：
火绒反馈可以查杀：
卡巴斯基opentip标记为“clean”（可能是数字签名的缘故），miss：
360云端未知，QVM可能可以查杀：
腾讯电脑管家vt引擎未杀miss，然而6天前有人上报过（难道是因为分析师看到了数签？）：

下载地址：https://wws.lanzouv.com/ihKkM08gy1pa

显示全部楼层 · 发表于 2022-8-3 16:31:23

上报卡巴了

显示全部楼层 · 发表于 2022-8-3 16:32:45

本帖最后由 UNknownOoo 于 2022-8-3 16:35 编辑

智量
扫描：miss
运行：miss（检测到外联，但最后没报）

tcp连接建立，智量无反应

显示全部楼层 · 发表于 2022-8-3 16:39:02

这个签名都能偷？？？

如果没有特征的话难不成还能上报去黑？

显示全部楼层 · 发表于 2022-8-3 16:44:15

可能有反虚拟机

https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYJi2IhuCf0-QUp-1jd9

显示全部楼层 · 发表于 2022-8-3 16:46:37

tdsskiller 发表于 2022-8-3 16:39
这个签名都能偷？？？如果没有特征的话难不成还能上报去黑？

看沙箱报告貌似有一个很少见的行为……

''使用危险API时检测到栈指针切换''

显示全部楼层 · 发表于 2022-8-3 16:49:18

Malwarebytes kill

显示全部楼层 · 发表于 2022-8-3 16:51:23

00006666 发表于 2022-8-3 16:46
看沙箱报告貌似有一个很少见的行为……

''使用危险API时检测到栈指针切换''

没啥用，签名第一位，你去看那些反作弊，一个个都和rootkit一样

显示全部楼层 · 发表于 2022-8-3 17:21:09

就一个dll？有没有啥关联文件

显示全部楼层 · 发表于 2022-8-3 17:21:23

你这个东西啊，我又想起来北信源泄露签名的那个木马

[病毒样本] 数签远控 Farfli/Zegost dll 1X

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

评分

[病毒样本] 数签 远控 Farfli/Zegost dll 1X

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

评分

[病毒样本] 数签远控 Farfli/Zegost dll 1X