两个VT0的样本更新了

ジ蓅暒划过づ

• VT首发0个报毒：VirusTotal - File - 3987dc438b609fb02c69f86a71b92b32d7c8bcc55198308b62f233ee7dcff749
• VirusTotal - File - c0c781bbb23a5fc84423ddd029813a1b7f207fa38a7250a58d16ec6a494e9fed
• 应该是同源的，昨天更新后过不了ESET特征，今天都过了，有一些新玩意大家可以测下杀软入下库
• 卡巴扫描和opentip都MISS Kaspersky Threat Intelligence Portal — Report — 3987DC438B609FB02C69F86A71B92B32D7C8BCC55198308B...
• Kaspersky Threat Intelligence Portal — Report — C0C781BBB23A5FC84423DDD029813A1B7F207FA38A7250A5...
• 微步还是一样分析安全不过好像多了一条红色行为：样本报告-微步在线云沙箱     样本报告-微步在线云沙箱
• 样本：muma114.zip - 蓝奏云
  

awsl10000次

应该还是昨天那个朋友说的opentip逻辑，卡巴现在云端拉黑了
UDS:Backdoor.Win32.Agent
每次看到这种情况就想说ESET什么时候能公开一个沙箱或者给eis下放一下ELG（）
intelix好像对中文的msi安装包执行不了安装操作，执行截图停止在安装向导那一页
https://intelix.sophos.com/repor ... b4eab3/dynamic/file

wywt123

awsl10000次 发表于 2025-3-2 01:27
应该还是昨天那个朋友说的opentip逻辑，卡巴现在云端拉黑了
UDS:Backdoor.Win32.Agent
每次看到这种情况 ...

我传了下这个wininstall.exe
刚跑完那会还是绿的，然后过了几分钟再刷新就检出一堆了，期间没点过submit to reanalyze
https://opentip.kaspersky.com/22 ... /results?tab=upload

ELG miss

2025/3/2 1:07:55;ESET Kernel;ESET LiveGuard has analyzed a file. It is safe to use.

BD 双击kill Generic.ShellCode.Donut.Marte.4.B1D876AF

Sophos Intelix 检出https://intelix.sophos.com/repor ... 7b231b/dynamic/file


shellcode已经被很多家拉黑好几天了，vt19/61 （bd引擎卖的是真多
https://www.virustotal.com/gui/f ... b5c255c7bc012f24fb9

飞翔的蒲公英

火绒：扫描miss
双击：h开头的文件运行到消失后，火绒没反应；w开头的运行到rar安装成功，火绒没反应。

云溪杀毒：扫描miss
双击：h开头的文件运行时，云溪主防进行拦截，但安装过程仍继续。w开头的云溪没反应。

360杀毒（五个引擎全开，包括鲲鹏）：扫描miss
双击：h开头的文件运行到消失后，360杀毒没反应；w开头的运行到rar安装成功，360杀毒没反应。

腾讯电脑管家：扫描miss
双击：h开头的文件运行到消失后，疼管没反应；w开头的运行到rar安装成功，疼管没反应。

奇安信天守：扫描1x，显示后门，成功隔离1个。
双击：h开头的文件被隔离阻断。w开头的主防显示有威胁并清除，但最终仍安装成功。

ジ蓅暒划过づ

wywt123 发表于 2025-3-2 01:31
我传了下这个wininstall.exe
刚跑完那会还是绿的，然后过了几分钟再刷新就检出一堆了，期间没点过submit ...

卡巴的云拉黑真是快呀

ジ蓅暒划过づ

awsl10000次 发表于 2025-3-2 01:27
应该还是昨天那个朋友说的opentip逻辑，卡巴现在云端拉黑了
UDS:Backdoor.Win32.Agent
每次看到这种情况 ...

Elg也被过了，卡巴的云拉黑真是快

awsl10000次

wywt123 发表于 2025-3-2 01:31
我传了下这个wininstall.exe
刚跑完那会还是绿的，然后过了几分钟再刷新就检出一堆了，期间没点过submit ...

难道说卡巴有后手？印象里楼主发的第一个链接最开始只是提取物里有一个红的检出
现在变成两个检出了，其中一个报法就是层主发的这个wininstall的拉黑报法
elg强度还是玄学啊。

awsl10000次

ジ蓅暒划过づ 发表于 2025-3-2 01:56
Elg也被过了，卡巴的云拉黑真是快

我一直觉得ksn给vt也这么同步不就放任其他家抄嘛
而且有的时候vt拉黑了卡巴自己的用户还没拉黑得等云缓存更新
卡巴让人抄完，别家情报/分析师拉黑的卡巴反倒不抄了...
eset就不把livegrid拉黑放vt上

ジ蓅暒划过づ

awsl10000次 发表于 2025-3-2 02:06
我一直觉得ksn给vt也这么同步不就放任其他家抄嘛
而且有的时候vt拉黑了卡巴自己的用户还没拉黑得 ...

Eset本体机学报，vt也不会报的，卡巴有时候云端拉黑了ksn红了也要双击才报

ジ蓅暒划过づ

飞翔的蒲公英 发表于 2025-3-2 01:41
火绒：扫描miss

云溪杀毒：扫描miss

有条件可以双击看看