两个VT0的样本更新了

飞翔的蒲公英

ジ蓅暒划过づ 发表于 2025-3-2 02:10
有条件可以双击看看

正在双击实验，虚拟机开的多，电脑特卡。

飞翔的蒲公英

双击测试已发，在原帖子上修改的。
云溪杀毒拦截了一个，但最终都安装成功；
奇安信天守成功拦截一个并成功隔离，另一个有拦截动作，但未能阻止安装。
360杀毒、腾管、火绒均双击没反应。

咖啡28576

感觉银狐新样本各家杀软查杀都很无力呢。你发这两个BD双击也没有杀，安装后报了一堆毒，但是本体还是没有杀

momli

咖啡28576 发表于 2025-3-2 05:41
感觉银狐新样本各家杀软查杀都很无力呢。你发这两个BD双击也没有杀，安装后报了一堆毒，但是本体还是没有杀

毕竟想都不用想，知名杀软肯定都是被银狐作者针对性测试免杀成功才放出来的

电脑发烧迷

360卫士加杀毒，扫描miss，双击两个安装包，安装正常进行，途中拦截了一些敏感操作，不知道防没防住

lsop1349987

avast kill
hmpa kill
Avira kill
EIS miss
HMPA还是很有用的，很多时候可以补漏
补充：EIS在重启后开机扫描报内存，再次重启仍报毒，拦截失败

wywt123

awsl10000次 发表于 2025-3-2 02:02
难道说卡巴有后手？印象里楼主发的第一个链接最开始只是提取物里有一个红的检出
现在变成两个检出了，其 ...

出现两个是因为wininstall.exe被分析了，不确定是人工还是自动机，给了个Trojan.Win32.Shellcode.abp的检测名，昨晚沙箱快速拉黑给的是Backdoor.Agent.xx(具体检测名称不记得了)

卡巴这些.sb结尾的报毒名都不是正式的检测名称，一般只会先入库KSN用
.sb不知道有啥含义，猜一个sb=sandbox检出？
这些被op检出的文件会在分析后给出一个正式的检测名称，入库到本地的时候就是这个名称。
所以你会经常见到op刚拉黑报毒名是这一个，过后检测名换了

咖啡28576

momli 发表于 2025-3-2 09:02
毕竟想都不用想，知名杀软肯定都是被银狐作者针对性测试免杀成功才放出来的

但是BD在大陆连服务器都没有更新都困难根本就没几个人用，没想到还是做了免杀

UNknownOoo

#DonutLoader

inhh1

BD：高级威胁防护已开始对恶意进程执行清除操作。进程路径: C:\Program Files (x86)\winrar-x\winrar-x\wininstall.exe. 威胁名称: ATC.Generic.ShellCode.Donut.Marte.4.A35176C0.
随后云杀本体
实时防护检测到威胁。该文件已被删除。C:\Users\uuu\Desktop\wininstall.exe 是恶意软件 Gen:Suspicious.Cloud.200.@BW@aqyINjn
只能说BD的云还是很给力的（貌似没外卖）