查看: 965|回复: 22
收起左侧

[病毒样本] 数签 远控 Farfli/Zegost dll 1X

[复制链接]
wwwab
发表于 6 天前 | 显示全部楼层 |阅读模式
数字签名:

发帖前vt只有4家报毒:
检测到恶意数据包:
rundll32应该可以运行,rundll32带不同参数执行了11次,同样样本外联了11次:

发帖前:
火绒反馈可以查杀:
卡巴斯基opentip标记为“clean”(可能是数字签名的缘故),miss:
360云端未知,QVM可能可以查杀:
腾讯电脑管家vt引擎未杀miss,然而6天前有人上报过(难道是因为分析师看到了数签?):

下载地址:https://wws.lanzouv.com/ihKkM08gy1pa

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
秋日之殇
发表于 6 天前 | 显示全部楼层
上报卡巴了
UNknownOoo
发表于 6 天前 | 显示全部楼层
本帖最后由 UNknownOoo 于 2022-8-3 16:35 编辑

智量
扫描:miss
运行:miss(检测到外联,但最后没报)

tcp连接建立,智量无反应

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
tdsskiller
发表于 6 天前 | 显示全部楼层
这个签名都能偷???如果没有特征的话难不成还能上报去黑?
00006666
发表于 6 天前 | 显示全部楼层
tdsskiller 发表于 2022-8-3 16:39
这个签名都能偷???如果没有特征的话难不成还能上报去黑?

看沙箱报告貌似有一个很少见的行为……

''使用危险API时检测到栈指针切换''
LovelyTim
发表于 6 天前 | 显示全部楼层
Malwarebytes kill

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
tdsskiller
发表于 6 天前 | 显示全部楼层
00006666 发表于 2022-8-3 16:46
看沙箱报告貌似有一个很少见的行为……

''使用危险API时检测到栈指针切换''

没啥用,签名第一位,你去看那些反作弊,一个个都和rootkit一样

评分

参与人数 1人气 +3 收起 理由
00006666 + 3

查看全部评分

Jirehlov1234
发表于 6 天前 | 显示全部楼层
就一个dll?有没有啥关联文件

评分

参与人数 1人气 +1 收起 理由
wwwab + 1 没有 样本来自腾讯电脑管家论坛...

查看全部评分

tdsskiller
发表于 6 天前 | 显示全部楼层
你这个东西啊,我又想起来北信源泄露签名的那个木马
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-8-9 13:08 , Processed in 0.119931 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表