待鉴定

wwwab

该样本同时命中了火绒的Virus/Grtecs.b 瑞星的Virus.Grtext!1.E5B0(classic) eset的Win32/Agent.NFX Virus 卡巴的Virus.Win32.Agent.gen
特征点应该取自https://bbs.kafan.cn/thread-2255938-1-1.html这批感染型病毒样本，并且确实是有一个.test可疑区段

稍微看了一下，该样本末尾的确添加了一个带MZ头的追加文件，整个样本中的确能找到两个This program cannot be run in DOS mode
追加的文件单独提取出来是https://www.virustotal.com/gui/f ... eb250417e0c/details
火绒和瑞星进行修复后均清除了该部分以及.test区段
但是该文件未发现和之前那批感染型病毒一样的行为，也未匹配之前那批感染型病毒追加的文件的特征
同时，文件修复清除后提示找不到文件Patch.exe，修复清除前正常

然后我再尝试单独删除样本末尾追加的文件，仍然命中火绒和eset的特征（瑞星和卡巴不杀了），然后用火绒修复清除之后发现只是又再删了一小段

再然后火绒那边说是误报

所以非常奇怪，同时命中了4家厂商对之前那个感染型病毒的检出特征、清除特征以及清除方式



这里召唤大佬 @XywCloud @wowocock

祸兮福所倚

tony099

卡巴web防护拦截，这波卡巴上大分

事件: 检测到恶意对象
用户: DESKTOP-I7475TQ\35987
用户类型: 活动用户
应用程序名称: chrome.exe
应用程序路径: C:\Program Files\Google\Chrome\Application
组件: 安全浏览
结果说明: 检测到
类型: 病毒
名称: Virus.Win32.Agent.gen
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: 新回忆武魂.exe
对象路径: https://bbs.kafan.cn/forum.php?m ... 8MjI2NTA0NQ%3D%3D//火绒提取后
对象的 MD5: B421CAE547813C68579B9A5A0DB39081
原因: 专家分析
数据库发布日期: 今天，2024/1/16 17:09:00

祸兮福所倚

DisaPDB

看样子是本地拉黑报法

有点意思，360没有命中感染性病毒特征，但是年久失修的红伞居然检出了

z80405789

应该都能杀吧

XywCloud

文件确实是被感染了啊，只不过这个感染型感染后的文件并不具备感染其他文件的能力（还有一些感染型则是间接具备）
我们瑞星的检测逻辑里要求里面有个额外的PE，因为这是感染型的主要目的（这个PE会在进入程序原始流程前在内存中加载）
“Can't find Patch.exe”是原始程序本身的逻辑，出现这个反而证明修复对了

wwwab

XywCloud 发表于 2024-1-16 20:15
文件确实是被感染了啊，只不过这个感染型感染后的文件并不具备感染其他文件的能力（还有一些感染型则是间接 ...

那奇怪了，火绒那边又说怀疑是误报先排除了，@火绒工程师 ，360也没检出感染型，我看着好不对劲

biue

GDHJDSYDH

EIS下载杀