FakeTG 3X

显示全部楼层 · 发表于 2023-8-23 23:40:18

swizzer 发表于 2023-8-23 23:38
但是这种静态联动报法真的会受敏感度影响吗

我感觉更像是沙盒运行造成的偏差（

嗯...可能是沙盒的原因，不过我已经调整设置尽可能地仿真实机了。

不过这个样本可以看出来为了“取巧”而在实机直接入沙运行的方法是不准确甚至错误的。

显示全部楼层 · 发表于 2023-8-23 23:45:08

GreatMOLA 发表于 2023-8-23 23:40
嗯...可能是沙盒的原因，不过我已经调整设置尽可能地仿真实机了。

不过这个样本可以看出来为了“取巧 ...

但是话说回来，BEST默认确实是不扫描压缩包的，而且BEST似乎把asar，msi等一系列文件都视作压缩包...

所以造成了有些BD个人版实时防护可以识别到的，BEST默认情况下会miss

点名之前通过ElectronApp投递的一系列Stealer

显示全部楼层 · 发表于 2023-8-23 23:48:07

swizzer 发表于 2023-8-23 23:45
但是话说回来，BEST默认确实是不扫描压缩包的，而且BEST似乎把asar，msi等一系列文件都视作压缩包...

...

默认设置确实是这样，不过我已经调成了扫描所有文件了。

另外说一句，BD的Disinfect动作对性能的影响貌似很大，在执行清除操作的时候我PCIe4.0的固态+12700k的配置都非常卡，所以我不得不把发现威胁时的动作调成移动至隔离区。。。

显示全部楼层 · 发表于 2023-8-23 23:49:24

GreatMOLA 发表于 2023-8-23 23:48
默认设置确实是这样，不过我已经调成了扫描所有文件了。

另外说一句，BD的Disinfect动作对性能的影响 ...

确实很大，所以我对设置也做出了同样的调整

显示全部楼层 · 发表于 2023-8-23 23:54:32

本帖最后由 117054487 于 2023-8-24 12:02 编辑

卡巴
New_4.8.10.exe PDM:Trojan.Win32.Generic 回滚
TG.exe PDM&MEM miss 杀了个两个无关紧要的衍生物
tsetup-x6.msi PDM&MEM miss

卡巴部分上报回复Hello,

Additionally, the hashes you sent:
4d757198e91cbf8876073773b9eac454ba474341021bc144a189536858a13efd - UDS:Trojan-Dropper.Win32.Agent.a (KSN only)
a896be695060cae32a70973ebba049139b27ae837e870e5faf728392b32854dd - Backdoor.Win32.Farfli.cmcn
d84b2a0632974c30a318ca1b44f42c5dc5078c20b9ff6707c0e7892b9e3676d6 - HEUR:Trojan-Dropper.OLE2.Agent.gen

Hello,

New malicious software was found in the attached files. Its detection will be included in the next update.
Thank you for your help.

96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe - HEUR:Trojan-Downloader.Win32.Agentb.gen
AAR.dll - HEUR:Trojan.Win32.Starter.gen
Qqiwqc.dll - HEUR:Trojan.Win32.Loader.gen
TDPCONIC.dll - HEUR:Trojan.Win32.Agentb.gen
TDPCONTROL.dll - HEUR:Trojan.Win32.Agentb.gen
XTDTCT.exe - Trojan.Win32.Starter.aobe
bpchelper.dll - HEUR:Trojan.Win32.Agentb.gen

For WHCP files detection will be applied in 2-3 days:
UniAnsi.dll - HEUR:Trojan.Win32.Loader.gen
pbvm125.dll - HEUR:Trojan.Win32.Loader.gen

Best regards, Ilya, Malware Analyst, Kaspersky
39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com https://securelist.com
https://opentip.kaspersky.com/ - get insights about suspicious files, hashes, URLs, IP addresses or domain names

显示全部楼层 · 发表于 2023-8-23 23:56:44

New_4.8.10.exe » UPX v13_m8 » AUTOIT » D:\hao\推广\zhodaji.com，3636\shurufa\5\lenovosmgrc.dll - a variant of Win32/Lenovo.C potentially unwanted application

新PUA报法

@anthonyqian

显示全部楼层 · 发表于 2023-8-23 23:58:21

本帖最后由 swizzer 于 2023-8-23 23:59 编辑

@hsks tsetup-x6.msi的衍生物999.exe跟这里的样本是同一个文件。https://bbs.kafan.cn/thread-2259752-1-1.html

Cool~

显示全部楼层 · 发表于 2023-8-24 00:09:57

swizzer 发表于 2023-8-23 23:58
@hsks tsetup-x6.msi的衍生物999.exe跟这里的样本是同一个文件。https://bbs.kafan.cn/thread-2259752-1-1 ...

连在一块了（）

显示全部楼层 · 发表于 2023-8-24 00:14:33

S1 扫描miss 执行杀一个

显示全部楼层 · 发表于 2023-8-24 00:17:27

hsks 发表于 2023-8-24 00:09
连在一块了（）

https://bbs.kafan.cn/thread-2256990-1-1.html
https://bbs.kafan.cn/thread-2258058-1-1.html
https://bbs.kafan.cn/thread-2258097-1-1.html
https://bbs.kafan.cn/thread-2259752-1-1.html

再带上本帖，我觉得都足够某厂商水一篇报告了

[病毒样本] FakeTG 3X

评分

本帖子中包含更多资源

评分

评分

评分

本帖子中包含更多资源