银狐远控变MD5

显示全部楼层 · 发表于 2023-12-21 10:32:45

本帖最后由 wowocock 于 2023-12-21 10:34 编辑

https://www.virustotal.com/gui/file/6db99777262b161f0b7be57140a32853cda02a043dece978c49f140bf5a4ba5f?nocache=1

添加的计划任务，随机名称的exe实际为tu_rt.exe; 更新程序；但已被病毒利用，加载同一目录下的的同名.dat文件；

.dat是被zip格式加密压缩的文件，把loader代码放在加密的zip压缩包里，天然的免杀。

而且每次启动会修改文件最后2个字节内容不断变MD5,对于那种靠MD5拉黑的，基本全过。

显示全部楼层 · 发表于 2023-12-21 11:11:40

给个样本呗u

显示全部楼层 · 发表于 2023-12-21 11:40:06

liu237 发表于 2023-12-21 11:11
给个样本呗u

infected

显示全部楼层 · 发表于 2023-12-21 11:58:08

本帖最后由 hhjjjjjj123 于 2023-12-21 12:09 编辑

这是针对360啊

看来云拉黑还是要学微软的拉黑元数据Windows Defender 防病毒的技术还是很先进的_Microsoft Defender(MSE)_国外杀毒软件卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

显示全部楼层 · 发表于 2023-12-21 12:07:40

看来是考验各家特征强度和机学的时候了

显示全部楼层 · 发表于 2023-12-21 12:16:12

本帖最后由 GDHJDSYDH 于 2023-12-21 12:18 编辑

EIS+KFA扫描miss，沙箱内双击运行程序崩溃

显示全部楼层 · 发表于 2023-12-21 13:40:47

显示全部楼层 · 发表于 2023-12-21 14:24:11

能否给个原样本

显示全部楼层 · 发表于 2023-12-21 15:02:49

hhjjjjjj123 发表于 2023-12-21 11:58
这是针对360啊看来云拉黑还是要学微软的拉黑元数据Windows Defender 防病毒的技术还是很先进的_Micro ...

你说反了，360是非白即黑策略，对360无效。

显示全部楼层 · 发表于 2023-12-21 15:04:48

PinkKey 发表于 2023-12-21 14:24
能否给个原样本

应该就是原始的了，双击运行后，会自动创建计划任务。

[病毒样本] 银狐远控变MD5

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源