#Latrodectus

显示全部楼层 · 发表于 2024-4-26 16:51:13

先上VT(12/63)

面对里面的360total.dll NGAV几乎全军覆没

下载地址
https://cloud.rhinelab.io/s/l5i5

显示全部楼层 · 发表于 2024-4-26 16:59:25

本帖最后由西风萧雨于 2024-4-26 17:40 编辑

360未知双击报了

显示全部楼层 · 发表于 2024-4-26 17:05:25

显示全部楼层 · 发表于 2024-4-26 17:14:29

本帖最后由 DisaPDB 于 2024-4-26 18:00 编辑

360 隐藏规则

时间操作说明次数
2024-04-26 17:13:58 [已阻止] 进程创建防护 1 次
详细描述：
进程：C:\Windows\Installer\MSI8DD0.tmp
动作：进程创建
路径：C:\Windows\System32\rundll32.exe
风险文件：C:\Windows\System32\rundll32.exe
拦截补充描述：为了您的上网安全，如果您不认识此程序，请阻止此操作。
防护信息: AD|1, 4|10, 60, 60||
时间操作说明次数
2024-04-26 17:14:04 [自动阻止] 模拟按键防护 1 次
详细描述：
进程：C:\Windows\System32\msiexec.exe "C:\Windows\System32\msiexec.exe" /i "C:\Users\Administrator\Desktop\8041a15e27c785f2adcce9e8c643f5cc619b52e50cd36ff043d13c4089ce1cad.msi" , (1, 24)
动作：模拟按键
路径：*

复制代码

手动rundll32启动拦截DCOM持久化操作（这东西好像是个360ts的patch？）

复制代码

火绒6

复制代码

显示全部楼层 · 发表于 2024-4-26 17:27:13

卡巴下载解压杀

显示全部楼层 · 发表于 2024-4-26 17:32:47

本帖最后由偶偶偶114514 于 2024-4-26 17:40 编辑

cp k

显示全部楼层 · 发表于 2024-4-26 17:41:39

本帖最后由 pal家族于 2024-4-26 17:43 编辑

DisaPDB 发表于 2024-4-26 17:14
360 隐藏规则

手动rundll32启动拦截DCOM持久化操作

我还是觉得你楼上那个报毒名称是拼起来的iceid后面跟个四个字母，怎么说也是传统特征码入库或者md5入库啊，总不是他家的AL特征库的家族分类能力这么强的嘛

显示全部楼层 · 发表于 2024-4-26 17:44:01

pal家族发表于 2024-4-26 17:41
我还是觉得你楼上那个报毒名称是拼起来的iceid后面跟个四个字母，怎么说也是传统特征码入库或者md5入库啊 ...

确实

但VT上也没有aiScore这个报法

显示全部楼层 · 发表于 2024-4-26 17:54:40

DisaPDB 发表于 2024-4-26 17:44
确实

但VT上也没有aiScore这个报法

其实也有
一个叫MAX的报毒就是Aiscore=十位数
然后弹力报毒是moderate Confidence 铁壳在vt是报ML.Attribute.HighConfidence
然后，，就，随便拼一下？？

哈哈瞎猜的

显示全部楼层 · 发表于 2024-4-26 17:59:02

pal家族发表于 2024-4-26 17:54
其实也有
一个叫MAX的报毒就是Aiscore=十位数
然后弹力报毒是moderate Confidence 铁壳在vt是报ML.Att ...

问题在于这个样本MAX和弹性根本没报

，铁壳报的不是ML而是Scr.Malcode!gen137

[病毒样本] #Latrodectus