毒鼠白加黑

显示全部楼层 · 发表于 2023-11-19 23:18:34

本帖最后由 hsks 于 2023-11-19 23:21 编辑

https://wwtw.lanzouq.com/itP2X1fd2lyh

https://www.virustotal.com/gui/f ... fb39efe1c?nocache=1

C2：202.95.14.178（R.zip）

静等BD拉黑白exe（bushi）

显示全部楼层 · 发表于 2023-11-19 23:25:37

本帖最后由 UNknownOoo 于 2023-11-19 23:27 编辑

火绒
扫描：依旧特征捉mdb...（但是只有手动扫描才能检出，双击白文件都MISS的那种）

扫描文件：3
发现风险：1
已处理风险：0
病毒详情：
风险路径：C:\Users\UnknownOoo\Downloads\Compressed\package\360sb.mdb, 病毒名：HEUR:Backdoor/MalFox.d, 病毒ID：1fd64625b5ee5870, 处理结果：暂不处理

复制代码

X-Sec扫描：MISS ALL

奇安信扫描器
扫描：2X

Backdoor.MalFox.8708 云引擎 f1d379446a2b0431c13a6cff4d522270 未清理 C:\Users\UnknownOoo\Downloads\Compressed\package\360sb.mdb
QDE.V2.3.7661O7ESS.M5 AI引擎 b92aaaefce9c2772e3381d4daebddd02 未清理 C:\Users\UnknownOoo\Downloads\Compressed\package\asurabase.dll

复制代码

金山
双击：内存防护

显示全部楼层 · 发表于 2023-11-19 23:26:37

本帖最后由 hsks 于 2023-11-19 23:30 编辑

UNknownOoo 发表于 2023-11-19 23:25
火绒
扫描：依旧特征捉mdb...（但是只有手动扫描才能检出，双击白文件都MISS的那种）

奇安信的Malfox报法是抄火绒的吧（

金山高光时刻（

说到特征捉shellcode，我好奇作者会不会在下一次大更新中增强shellcode的免杀（

显示全部楼层 · 发表于 2023-11-19 23:27:07

卡巴已上报，并且让他们是否能加个主防特征。。。

显示全部楼层 · 发表于 2023-11-19 23:28:28

本帖最后由 hsks 于 2023-11-19 23:29 编辑

Eset小粉絲发表于 2023-11-19 23:27
卡巴已上报，并且让他们是否能加个主防特征。。。

加个内存特征就行了吧（

虽然可能不像ESET那么稳

显示全部楼层 · 发表于 2023-11-19 23:30:10

本帖最后由嘿嘿不能说于 2023-11-20 08:32 编辑

hsks 发表于 2023-11-19 23:28
加个内存特征就行了吧（

360：0

Avast：0

之前有尝试上报一两组，看来是没有处理，以后都不上报了（

显示全部楼层 · 发表于 2023-11-19 23:30:57

hsks 发表于 2023-11-19 23:28
加个内存特征就行了吧（

虽然可能不像ESET那么稳

具体还是要看看卡巴那怎么对待此样本。。。

显示全部楼层 · 发表于 2023-11-19 23:32:06

本帖最后由 hsks 于 2023-11-19 23:34 编辑

Eset小粉絲发表于 2023-11-19 23:30
具体还是要看看卡巴那怎么对待此样本。。。

我突然想到还有一种方法
阻外联
A-Z.zip里的shellcode全都分析一波，得到C2，然后无脑拉黑（

显示全部楼层 · 发表于 2023-11-19 23:33:23

hsks 发表于 2023-11-19 23:26
奇安信的Malfox报法是抄火绒的吧（

金山高光时刻（

金山的内存防护捉这个家族一直蛮稳定的来着awa（我也差不多也只在这个家族测金山）

奇安信的Malfox报法是抄火绒的吧（

确实，只是拉黑报法，hash变一下就寄了

显示全部楼层 · 发表于 2023-11-19 23:35:58

hsks 发表于 2023-11-19 23:32
我突然想到还有一种方法

A-Z.zip里的shellcode全都分析一波，得到C2，然后无脑拉黑（

特别要求转交给Ilya，毕竟他是擅长处理这样本的（我的提交。。。

[病毒样本] 毒鼠白加黑