【VT=2】8cc3e3bdcf424bf741953d05b34821f7992511d01640a3a2b7a04d299c289397

显示全部楼层 · 发表于 2024-9-25 17:39:46

761773275 发表于 2024-9-25 17:31
可能是某種ATK

看来微软入库还是有道理的，虽然MD拉黑的误报满天飞，但是如果是入库的，那可能是真有问题？毕竟MD入库的误报很低

显示全部楼层 · 发表于 2024-9-25 17:53:48

驭龙发表于 2024-9-25 17:39
看来微软入库还是有道理的，虽然MD拉黑的误报满天飞，但是如果是入库的，那可能是真有问题？毕竟MD入库的 ...

我去問問騷護士的技術

显示全部楼层 · 发表于 2024-9-25 17:55:00

761773275 发表于 2024-9-25 17:53
我去問問騷護士的技術

嗯，这东西表面上看没问题，但特定的情况下确实是有外联，真的让人搞不懂

显示全部楼层 · 发表于 2024-9-25 17:55:21

本帖最后由 XywCloud 于 2024-9-25 17:56 编辑

神秘鬼发表于 2024-9-25 16:10
FSP 双击miss 这东西有外联啊

兄弟，你的测试设备（或者是实机）是不是中了Lumma Stealer然后没清干净啊，几个都是这玩意的C2
和这个样本一点关系都没有，这样本就是一个屏幕共享帧率和速度的测试工具
【但凡打开dnSpy或者其他类似的工具看一眼代码都不会得出这玩意有自动外联的行为的结论】

显示全部楼层 · 发表于 2024-9-25 17:57:01

XywCloud 发表于 2024-9-25 17:55
兄弟，你的测试设备（或者是实机）是不是中了Lumma Stealer然后没清干净啊，几个都是这玩意的C2
和这个 ...

估計前幾個樣本寄了幾個

然後又下載這個樣本，發現彈窗了

显示全部楼层 · 发表于 2024-9-25 17:58:59

驭龙发表于 2024-9-25 17:55
嗯，这东西表面上看没问题，但特定的情况下确实是有外联，真的让人搞不懂

很難說，之前我就發現過某個軟件有後門外聯，後來和作者一起查到是的用的開源插件有問題

显示全部楼层 · 发表于 2024-9-25 18:01:59

761773275 发表于 2024-9-25 17:58
很難說，之前我就發現過某個軟件有後門外聯，後來和作者一起查到是的用的開源插件有問題

不过你那种外联应该是正常的连接地址吧，这个的外联是恶意，但具体还真不好说，这小东西挺有意思啊

显示全部楼层 · 发表于 2024-9-25 18:05:22

驭龙发表于 2024-9-25 18:01
不过你那种外联应该是正常的连接地址吧，这个的外联是恶意，但具体还真不好说，这小东西挺有意思啊

之前那個插件完全不需要外聯的，但是確實外聯了惡意主機，被護士檔c2給幹了，當時準備發樣本區了，然後和作者溝通過才發現開源插件被加料了，用戶群還很大，後來把插件移除了就沒有外聯了

显示全部楼层 · 发表于 2024-9-25 18:08:14

761773275 发表于 2024-9-25 18:05
之前那個插件完全不需要外聯的，但是確實外聯了惡意主機，被護士檔c2給幹了，當時準備發樣本區了，然後和 ...

那还真的是作者都被坑了啊。哈哈

按理说我这样本，我是没发现可疑行为和外联的，但微软入库和25楼的测试，让我也搞不清楚了，我电脑没装反编译工具，就没法进一步分析

显示全部楼层 · 发表于 2024-9-25 18:12:04

本帖最后由 761773275 于 2024-9-25 18:14 编辑

驭龙发表于 2024-9-25 18:08
那还真的是作者都被坑了啊。哈哈

按理说我这样本，我是没发现可疑行为和外联的，但微软入库和25楼的测 ...

編輯

[可疑文件] 【VT=2】8cc3e3bdcf424bf741953d05b34821f7992511d01640a3a2b7a04d299c289397