深深地感受到世界是个草台班子

784696777

在B站看到一个叫NoEscape的老毒，找到了它的样本，大多数杀毒软件应该都入库了。在文件末尾加了几个空格，很多杀毒软件就不杀了。真就都在搞md5杀毒？带1的是改过的。

简单测了几个
改了还杀的：卡巴、360、腾讯、智量
改了就不杀的：
火绒：主防有阻止提示，但我这里拦不住，第一、第二个阻止点过之后就自动重启了
金山：主防有阻止提示，因为第一步就是“阻止并关闭”，所以没事
2345、华为：没有任何提示

大伙儿丢虚拟机双击试试吧。

DisaPDB

火绒拉黑是局部敏感hash
但是填充末尾就炸了

顺便 谁在搞md5杀毒 一目了然

UNknownOoo

没有通杀的必要呗...

火绒
运行：
单步拦截一系列行为后主防捉

1. 防护项目：关闭UAC
   
2. 操作类型：修改
   
3. 数据内容：0x00000000 (0)
   
4. 目标注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
   
5. 操作结果：已阻止
   
6. 
   
7. 防护项目：注册表编辑器屏蔽配置项
   
8. 操作类型：修改
   
9. 数据内容：0x00000001 (1)
   
10. 目标注册表：HKEY_USERS\S-1-5-21-2358378876-2357486606-955946799-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
    
11. 操作结果：已阻止
    
12. 
    
13. 防护项目：系统目录
    
14. 目标文件：C:\Windows\winnt32.exe
    
15. 操作结果：已阻止
    
16. 
    
17. 防护项目：Winlogon Userinit项
    
18. 操作类型：修改
    
19. 数据内容：C:\Windows\system32\userinit.exe,C:\Windows\winnt32.exe
    
20. 目标注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
    
21. 操作结果：已阻止
    
22. 
    
23. 病毒名称：Malware/Generic.B!2
    
24. 病毒路径：C:\Users\Administrator\Desktop\NoEscape1.exe
    
25. 操作结果：已处理，删除文件
    

复制代码

swizzer

对这个样本只拉黑hash ≠ 对所有样本都只拉黑hash

顺便，ESET kill all

GreatMOLA

MD

改过的: Trojan:Script/Wacatac.B!ml; 原样本: Trojan:Script/Sabsik.FL.A!ml.

神秘鬼

fsp   清空

784696777

UNknownOoo 发表于 2024-2-23 20:23
没有通杀的必要呗...

火绒

我虚拟机里双击，火绒没防住，可能有一步阻止点慢了。

又测了一下，点慢点真拦不住

dght432

vt上一堆杀毒软件报毒啊

784696777

swizzer 发表于 2024-2-23 20:24
对这个样本只拉黑hash ≠ 对所有样本都只拉黑hash

顺便，ESET kill all

道理是这个道理，但真就只拉黑hash也太弱智了

784696777

dght432 发表于 2024-2-23 20:32
vt上一堆杀毒软件报毒啊

所以只有国内有几家草台班子是吧