Happy New Year!

显示全部楼层 · 发表于 2024-1-1 00:01:57

hansyu 发表于 2023-12-31 23:41
是双击前扫描能杀，日志显示是云端机学。双击后再手动扫描就不能杀了，重启也不行。
看来是咖啡本身的问 ...

臆测：
针对性免杀x
执行监控漏毒✓

显示全部楼层 · 发表于 2024-1-1 00:12:01

本帖最后由 hansyu 于 2024-1-1 00:14 编辑

TimelessTT 发表于 2024-1-1 00:01
臆测：
针对性免杀x
执行监控漏毒✓

问题是双击后连手动扫描也寄掉这就不能理解

不过话说回来，执行监控对那种shellcode代码文件是完全无视的，以至于那种利用True Update的白加黑，没有黑dll的情况下咖啡完全没有办法。

显示全部楼层 · 发表于 2024-1-1 00:39:40

本帖最后由 TimelessTT 于 2024-1-1 00:46 编辑

hansyu 发表于 2024-1-1 00:12
问题是双击后连手动扫描也寄掉这就不能理解
不过话说回来，执行监控对那种shellcode代码文件是完 ...

话说执行前后这个dll有没啥变化...

只能说咖啡防御层面本身就比较单薄
然后还把监控砍了然后成了硬伤
咖啡应该是只有判定文件可疑才会拉去跑RP-D吧
这种比较另类的白加黑直接抓瞎

显示全部楼层 · 发表于 2024-1-1 00:57:39

本帖最后由 hansyu 于 2024-1-1 01:01 编辑

TimelessTT 发表于 2024-1-1 00:39
话说执行前后这个dll有没啥变化...

只能说咖啡防御层面本身就比较单薄

我从虚拟机复制出来算过hash，没有变化。
True Update那类咖啡判定为trusted installer，完全不会跑RP-D。
根据日志主进程exe本体信誉超过85以上的都不会跑RP-D，基本上只要是白加黑都不会跑RP-D，只能靠杀黑dll来防御。除非是先运行一个黑下载器，下载器下载的白加黑可能会因为父进程的下载行为被RP-D判黑，执行补救措施时连带把释放运行的白加黑进程清理掉。

显示全部楼层 · 发表于 2024-1-1 01:04:12

EIS扫描miss，KFA扫描kill 1x dll

显示全部楼层 · 发表于 2024-1-1 01:34:11

anthonyqian 发表于 2023-12-31 22:37
ESET 0，先发给飞塔看看
————

飞塔处理样本这么随意的吗...

显示全部楼层 · 发表于 2024-1-1 02:18:31

显示全部楼层 · 发表于 2024-1-1 07:58:00

本帖最后由 anthonyqian 于 2024-1-1 09:31 编辑

swizzer 发表于 2024-1-1 01:34
飞塔处理样本这么随意的吗...

飞塔内部估计对响应时间有要求，着急在零点前给结果呢
要求再次分析后，跟随卡巴斯基的步伐了：

We have analyzed the samples you provided and developed the pattern to catch them. We will add detection for these samples in the next regular update.

The samples you submitted will be detected as follows:
UIxMarketPlugin.dll (3312586bd9b19eeb39b2247fe024b9a1) - W32/Loader.B9A1!tr

显示全部楼层 · 发表于 2024-1-1 09:10:04

fs扫描miss

这玩意检测虚拟机吗？

显示全部楼层 · 发表于 2024-1-1 09:49:27

escan双击

[病毒样本] Happy New Year!

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

评分

本帖子中包含更多资源

评分