#Magniber ?

显示全部楼层 · 发表于 2023-3-12 11:36:00

看起来是旧版本

显示全部楼层 · 发表于 2023-3-12 12:10:51

咖啡杀了衍生物

显示全部楼层 · 发表于 2023-3-12 12:49:25

显示全部楼层 · 发表于 2023-3-12 22:48:38

金山毒霸miss

显示全部楼层 · 发表于 2023-3-13 05:38:25

MD扫描miss，双击后扫描kill，虽然拦截了部分行为但没有清除所有的衍生物，图片文件依旧被加密，而且KVRT+EOS+360急救箱均未发现残余的威胁

显示全部楼层 · 发表于 2023-3-13 10:45:43

GDHJDSYDH 发表于 2023-3-13 05:38
MD扫描miss，双击后扫描kill，虽然拦截了部分行为但没有清除所有的衍生物，图片文件依旧被加密，而且KVRT+E ...

3202年了，md还在miss Magniber⊙︿⊙

显示全部楼层 · 发表于 2023-3-13 11:26:12

LSPD 发表于 2023-3-13 10:45
3202年了，md还在miss Magniber⊙︿⊙

不清楚为什么扫描和监控不杀Magniber，微软云和vt上都均检出，双击虽然能够拦截行为但总是拦截不全，有时一个静态机学杀能突然杀一大片Magniber

显示全部楼层 · 发表于 2023-3-13 11:31:36

GDHJDSYDH 发表于 2023-3-13 11:26
不清楚为什么扫描和监控不杀Magniber，微软云和vt上都均检出，双击虽然能够拦截行为但总是拦截不全，有时 ...

会不会是因为Magniber是一个文件体积较大的安装包文件
md对于这种类型的威胁反应都不太好

显示全部楼层 · 发表于 2023-3-13 11:48:57

本帖最后由 GDHJDSYDH 于 2023-3-13 11:51 编辑

LSPD 发表于 2023-3-13 11:31
会不会是因为Magniber是一个文件体积较大的安装包文件
md对于这种类型的威胁反应都不太好

确实MD对大体积的安装包不是非常敏感，说实话我觉得微软还是应该改进一下扫描引擎和行为主防，还有文件夹控制防不住Magniber就挺烦的开了和没开似的

显示全部楼层 · 发表于 2023-3-13 12:53:24

GDHJDSYDH 发表于 2023-3-13 11:26
不清楚为什么扫描和监控不杀Magniber，微软云和vt上都均检出，双击虽然能够拦截行为但总是拦截不全，有时 ...

其实我记得sms报法是内存扫描吧，不是检测到注入行为

我之前在MDE那边试过了，没触发sms其实他们也能判定magniber感染，不过似乎看的不是注入行为，但也能检测到注入

只是AIR补救完成的时候也来不及了，文件肯定全毁了
……好像AIR不完全能调查这种有无文件攻击属性的来着（悲）

[病毒样本] #Magniber ?