BlackSuit 高级勒索软件策略曝光： 伪装成杀毒软件

ANY.LNK

微软目前报告Trojan:Win32/Bazarldr.MK!MTB

QVM360

我这双击没跑起来

00006666 发表于 2024-8-1 22:52
只是没扫出来，又没有加白，360肯定是会认识自己家的签名的

https://sc.360.net/file/57ebf50902949e1 ...

没扫出来不就是360扫描漏报躲过吗，不一个意思吗

wowocock

QVM360 发表于 2024-8-2 02:05
我这双击没跑起来

直接跑应该是没影响的，他这个不是自己运行就可以的，类似以前木马把自己的SHELLCODE隐藏在BMP,JPG文件中，需要依靠另外的代码来触发。由图可见他应该把自己的代码隐藏在资源节中，然后把代码节由原来的只读可执行，改为读写可执行。应该是由另外的代码把这个加载起来后，把隐藏于资源节中的代码，拷贝到代码节后运行。所以你直接跑是不起作用的，这也是他为何能过各种动态静态检测的原因。

wowocock

拉黑这个EXE，意义不大，如同拉黑那些BMP,JPG的，反而让人感到困惑，真正该处理的是触发其功能的TRIGGER,不过这里并没有提及。

Jirehlov1234

wowocock 发表于 2024-8-2 02:27
直接跑应该是没影响的，他这个不是自己运行就可以的，类似以前木马把自己的SHELLCODE隐藏在BMP,JPG文件中 ...

看DeepInstinct的视频好像加个-id就行了https://www.deepinstinct.com/blo ... lacksuit-ransomware

骨灰级小白

实机直接双击，毛豆入沙，随后WD kill

wowocock

Jirehlov1234 发表于 2024-8-2 10:56
看DeepInstinct的视频好像加个-id就行了https://www.deepinstinct.com/blog/deep-dive-exposing-stealthy ...

他肯定有触发模块，你自己IDA一下就知道了，代码段和360原版的一模一样。所以没有触发者，不会触发行为，你输啥参数都没影响。

pxl

avast

yaokai815

火绒 1x