VT4 XWorm木马1X

显示全部楼层 · 发表于 2025-3-24 01:06:09

VT首发4个报毒VirusTotal - File - 3d8f6a551fb9114e3aa6357296efa473c9b953c1ab02f43d68894ad55e6d9151
卡巴扫描MISS KSN未知
样本：MM19.zip - 蓝奏云

显示全部楼层 · 发表于 2025-3-24 01:11:04

火绒

显示全部楼层 · 发表于 2025-3-24 08:25:31

360卫士扫描kill
essp miss

显示全部楼层 · 发表于 2025-3-24 09:10:46

这就很有趣了

报毒的火绒不太一样呢

显示全部楼层 · 发表于 2025-3-24 09:56:07

我这里
火绒MISS
TES MISS
X-SEC MISS

显示全部楼层 · 发表于 2025-3-24 10:02:59

pal家族发表于 2025-3-24 09:10
这就很有趣了

火绒的报毒的命名方式似乎是按自家威胁检测引擎来的，没按照常用命名标准来。

显示全部楼层 · 发表于 2025-3-24 10:05:21

本帖最后由 pal家族于 2025-3-24 10:08 编辑

飞翔的蒲公英发表于 2025-3-24 10:02
火绒的报毒的命名方式似乎是按自家威胁检测引擎来的，没按照常用命名标准来。

不是我说的是报毒的文件不一样。而且我记得这玩意里面夹带的私货应该是正常的安装包，像是火绒的adv误报了。
我又查了下那个有道的安装包是原版的。。。。

显示全部楼层 · 发表于 2025-3-24 10:08:45

火绒adv大力杀脚本还是没改啊

显示全部楼层 · 发表于 2025-3-24 10:34:24

本帖最后由飞翔的蒲公英于 2025-3-24 10:37 编辑

pal家族发表于 2025-3-24 10:05
不是我说的是报毒的文件不一样。而且我记得这玩意里面夹带的私货应该是正常的安装包，像是火绒的adv误报 ...

哦哦，看明白了。现在好多msi伪装毒都爱用安装包制作工具往加私货，我刚刚用火绒试了试，常规扫描miss，开启发式后报6个威胁，YoudaoDict_fanyiweb_navigation.exe里面的4个js内容报了4个毒，不知道YoudaoDict_fanyiweb_navigation.exe这块里面是被火绒的启发式误报了还是真往里面篡改了。火绒引擎对msi安装包的检测特别灵敏，并且对js内容异常不容忍。

显示全部楼层 · 发表于 2025-3-24 10:38:05

飞翔的蒲公英发表于 2025-3-24 10:34
哦哦，看明白了。现在好多msi伪装毒都爱用安装包制作工具往加私货，我刚刚用火绒试了试，常规扫描miss， ...

这个安装包我看了下有网易的数字签名而且是正常的。。
XMP安装包也是有正常数字签名的
倒是installer文件和几个dll都没有数字签名

[病毒样本] VT4 XWorm木马1X

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源