Backdoor/AV-Killer（？） 2X

显示全部楼层 · 发表于 2024-1-11 23:04:41

DisaPDB 发表于 2024-1-11 22:44
通过注册表键找常见杀软很正常啊……
这个样本是释放wegame的tgp_daemon.exe来顶掉360的核晶虚拟化，没 ...

还能这么顶掉别人的vm的？牛

显示全部楼层 · 发表于 2024-1-11 23:07:04

hhjjjjjj123 发表于 2024-1-11 22:52
没明白您的意思，这个样本没有什么？

去看看大肉鸡对木马云模块内存加载后的分析

显示全部楼层 · 发表于 2024-1-11 23:15:30

DisaPDB 发表于 2024-1-6 12:27
估计利用了啥r3漏洞把托盘淦了
加驱必被拦漏洞白驱动会触发核晶黑驱动更别提了

我感觉漏洞白驱动但凡是个2022年后的，世界上没有一个杀软会拦截

显示全部楼层 · 发表于 2024-1-11 23:17:54

tdsskiller 发表于 2024-1-11 23:04
还能这么顶掉别人的vm的？牛

你看一下论坛里大佬0杀神在心0的B站视频，360核晶被顶掉之后会显示已对当前环境做出适配，不会报警。

显示全部楼层 · 发表于 2024-1-11 23:18:53

枣泥奶卷发表于 2024-1-11 23:17
你看一下论坛里大佬0杀神在心0的B站视频，360核晶被顶掉之后会显示已对当前环境做出适配，不会报警。

链接看看

显示全部楼层 · 发表于 2024-1-12 07:02:03

tdsskiller 发表于 2024-1-11 23:18
链接看看

https://www.bilibili.com/video/BV1NN411J7r2/
这个漏洞被在野木马利用过很多次了，360那边一直不修

显示全部楼层 · 发表于 2024-1-12 07:06:51

hhjjjjjj123 发表于 2024-1-11 22:52
没明白您的意思，这个样本没有什么？

没有那种虚拟化占位的操作

显示全部楼层 · 发表于 2024-1-12 09:44:40

DisaPDB 发表于 2024-1-12 07:02
https://www.bilibili.com/video/BV1NN411J7r2/
这个漏洞被在野木马利用过很多次了，360那边一直不修

我感觉这种东西可能非常泛滥，处理起来引起与常用兼容性问题更加头大

显示全部楼层 · 发表于 2024-1-12 09:57:24

tdsskiller 发表于 2024-1-12 09:44
我感觉这种东西可能非常泛滥，处理起来引起与常用兼容性问题更加头大

是这样的……目前只能开手动模式缓解

显示全部楼层 · 发表于 2024-1-12 14:48:31

DisaPDB 发表于 2024-1-12 07:02
https://www.bilibili.com/video/BV1NN411J7r2/
这个漏洞被在野木马利用过很多次了，360那边一直不修

这漏洞已经修复了吧，不过可能为了坑爹的各种兼容，可能会漏。

[病毒样本] Backdoor/AV-Killer（？） 2X