LummaStealer 1X

显示全部楼层 · 发表于 2024-12-21 19:54:33

本帖最后由神龟Turmi 于 2024-12-21 20:02 编辑

下载：
https://share.weiyun.com/WKzw14l5
https://k00.fr/ui3donaa | password: 962854

VT：
https://www.virustotal.com/gui/f ... 8ff7ad8e0/detection
处扫9 截止发布时16

MB：
https://bazaar.abuse.ch/sample/7 ... 4a6197dcf8ff7ad8e0/

C&C：

grannyejh.lat //ANYCAST cloudflare.com

复制代码

蛐蛐：

特征KILL

显示全部楼层 · 发表于 2024-12-21 19:56:25

微软目前机器学习Trojan:Win32/Wacatac.H!ml

显示全部楼层 · 发表于 2024-12-21 20:06:05

卡巴miss 双击杀 360扫描杀

显示全部楼层 · 发表于 2024-12-21 20:07:55

卡巴不受信任，本地监控不杀，双击杀

显示全部楼层 · 发表于 2024-12-21 20:14:36

kaba666 发表于 2024-12-21 20:07
卡巴不受信任，本地监控不杀，双击杀

又是这种KSN红了，本地却杀不了的情况，还好PDM与云的联动可以杀，不然真的不好玩了

显示全部楼层 · 发表于 2024-12-21 20:41:28

驭龙发表于 2024-12-21 20:14
又是这种KSN红了，本地却杀不了的情况，还好PDM与云的联动可以杀，不然真的不好玩了

搞不懂，不知道卡巴逻辑是哈子，让人摸不着头脑

显示全部楼层 · 发表于 2024-12-21 20:49:45

kaba666 发表于 2024-12-21 20:41
搞不懂，不知道卡巴逻辑是哈子，让人摸不着头脑

按照那位卡巴官方论坛版主的说法，很有可能是多个KSN服务器以及CDN缓存导致的同步异常，但是否真的如此，还真不好说。

我是这样想的，我们的KSN连接显示红，那我们的软件端是连接到已经KSN拉黑的服务器上了，为什么还会去其他服务器获取滞后的数据呢？难道卡巴文件监控和手段扫描调用的KSN服务器与我们查看属性调用的KSN是不同的吗？那这逻辑有一点说不过去，一个端点干嘛去连接多个服务器呢？是吧

显示全部楼层 · 发表于 2024-12-21 20:50:02

本帖最后由 kaba777 于 2024-12-21 21:58 编辑

个人猜测，ksn可能也有人工审核，机器分析不信任的结果还要有人工确认才会正式下发到客户端？对降低误报可能有效果？不懂ksn具体运行方式，纯猜测，如果有懂的欢迎打脸（此楼作废，见17楼）

显示全部楼层 · 发表于 2024-12-21 20:57:08

本帖最后由 wywt123 于 2024-12-21 20:58 编辑

驭龙发表于 2024-12-21 20:14
又是这种KSN红了，本地却杀不了的情况，还好PDM与云的联动可以杀，不然真的不好玩了

我猜是为了减轻服务器压力？
可能监控/扫描与双击可能请求的服务器不同。
监控/扫描对服务器的请求的肯定比主防多一些，可能这种情况下，为了减轻服务器压力，CDN节点设置的多一些，缓存更新时长也配置的偏保守些.
主防请求的KSN服务器缓存更新策略可能更积极些。

类似于Web开发中的主从延迟——刚更新的数据，查从库是查不到的，必须查主库才可以查询的到

显示全部楼层 · 发表于 2024-12-21 20:58:38

wywt123 发表于 2024-12-21 20:57
我猜是为了减轻服务器压力？
可能监控/扫描与双击可能请求的服务器不同。
监控/扫描对服务器的请 ...

目前可能也就只有你这种说法可能性比较大了

[病毒样本] LummaStealer 1X

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源