银狐最新变种x1------>VT 0/65

显示全部楼层 · 发表于前天 14:57

啊松发表于 2025-6-13 12:34
可能是没看到隐藏文件导致的.....

卡巴的分析质量是这样的

显示全部楼层 · 发表于前天 15:01

hmpa 双击

显示全部楼层 · 发表于前天 16:14

awsl10000次发表于 2025-6-13 14:57
卡巴的分析质量是这样的

不是，之前那个人上报的时候没有上报完整，仅上传了白exe。不怪卡巴

显示全部楼层 · 发表于前天 16:29

本帖最后由 PianoA 于 2025-6-13 16:30 编辑

这个样本大概要整个压缩包内的文件在同一文件夹下才能发作。关闭“隐藏受保护的操作系统文件”就可以看到配置文件，白文件和包含黑dll的文件夹。
但即使把dll提取出来也不影响金山毒霸miss

显示全部楼层 · 发表于前天 16:29

xlstarfall 发表于 2025-6-13 16:14
不是，之前那个人上报的时候没有上报完整，仅上传了白exe。不怪卡巴

谁给你说只报了exe？完整压缩包上报的，我又请他们重新分析，只是明确给卡巴指出了黑的dll

显示全部楼层 · 发表于前天 16:40

Rukia 发表于 2025-6-13 09:38
BD
ATD
Detection ID: Generic.Shellcode.Loader.Marte.X.C0F2A911

exe的一般过不了
msi的一般都会过

显示全部楼层 · 发表于前天 16:43

本帖最后由 ANY.LNK 于 2025-6-13 16:48 编辑

微软双击，EDR报告AppDomainManager进程注入和服务创建

显示全部楼层 · 发表于前天 17:08

xlstarfall 发表于 2025-6-13 16:14
不是，之前那个人上报的时候没有上报完整，仅上传了白exe。不怪卡巴

楼上人家已经说了上报完整压缩包，卡巴分析师没看罢了。之前我还遇到过pdm报毒，迟迟不拉黑上报，反倒被卡巴分析师判白的情况...

显示全部楼层 · 发表于前天 17:09

bbszy 发表于 2025-6-13 16:40
exe的一般过不了
msi的一般都会过

不知道企业版加了内核监控会不会好一点）

显示全部楼层 · 发表于前天 17:14

T心里隐着D 发表于 2025-6-13 16:29
谁给你说只报了exe？完整压缩包上报的，我又请他们重新分析，只是明确给卡巴指出了黑的dll

所以我之前上报样本，遇到白加黑文件或者隐藏为系统文件的黑文件都得特意英文备注一下，生怕他们看漏过去了

[病毒样本] 银狐最新变种x1------>VT 0/65