AsyncRAT盗币之强对抗免杀版

显示全部楼层 · 发表于 2025-6-18 13:50:49

本帖最后由图钉鱼于 2025-6-18 14:05 编辑

https://wormhole.app/d9WA17#9ReMXY6Vu2F7mVl_2Fcelg

密码 virus

主体1X+衍生物3X（衍生物不可运行，数据加密，不报毒是正常的）
VirusTotal - File - a3b3a60888ed2fdf1c7e617192235cbc8f593f0d9e7af8e4b43ee4c97069ca95

在野发现4天了，VT全零记录保持者（直到邮件手动上报~才终结），针对机器学习沙箱人工分析做了强对抗。就表现来看，多家的机器学习，沙箱均被穿透，经得起考验。
手动上报过ESET,卡巴斯基，赛门铁克，AVAST,BD，安博士，火绒，360，Sophos等等。

卡巴检测了压缩包另一个样本，该样本漏检回复正常文件，KSN直接拉白

ESET，赛门铁克，AVAST,BD，Sophos上报72小时无邮件回复也没更新特征码，当做漏检。人工分析也可以漏检的高质量样本~

360，火绒，安博士回复邮件，人工分析检测更新特征码。

说一下人工分析成功的这三家。
360，一如既往的唯一真神，人工分析无一漏检。

火绒时灵时失灵，在提交其他强对抗样本中，火绒人工分析会漏检，但这个样本中火绒人工分析靠谱了。

安博士，韩国棒子真的非常稳定，不得不服，邮件上报，先机器学习自动分析，无法确定的样本转人工，这个样本是转人工分析后检测出来，在其他强对抗样本中，转人工分析均无漏报，误报控制也不错，不会乱杀衍生物，不会无脑拉黑。

最后怼了下卡巴斯基，邮件要求二次复检才入库。

显示全部楼层 · 发表于 2025-6-18 13:56:25

密码 virus
avast扫描 0

显示全部楼层 · 发表于 2025-6-18 14:00:36

aikafans 发表于 2025-6-18 13:56
密码 virus
avast扫描 0

好快的手速，还在排版就发

显示全部楼层 · 发表于 2025-6-18 14:01:09

老铁解压密码

显示全部楼层 · 发表于 2025-6-18 14:03:24

图钉鱼发表于 2025-6-18 14:00
好快的手速，还在排版就发

看到你发的人工检测，有点忍不住想把腾管换成360了

显示全部楼层 · 发表于 2025-6-18 14:07:45

qzuser_pure 发表于 2025-6-18 14:01
老铁解压密码

virus

显示全部楼层 · 发表于 2025-6-18 14:08:36

本帖最后由 dght432 于 2025-6-18 14:44 编辑

编辑

显示全部楼层 · 发表于 2025-6-18 14:19:49

dght432 发表于 2025-6-18 14:08
卡巴是不是有点神经，就算没分析出来都没关系，但是莫名其妙加白是什么鬼？又没说是误报，卡巴斯基的白名单 ...

应该是恶意团队有针对性欺诈卡巴把，诱导KSN拉白名单，昨天毛豆那个DLL白名单删了，拉黑了

显示全部楼层 · 发表于 2025-6-18 14:22:47

https://www.bitdefender.com/en-us/business/submit
BD的话
在这儿上报，回复较快。

显示全部楼层 · 发表于 2025-6-18 14:26:01

本帖最后由 dght432 于 2025-6-18 14:27 编辑

图钉鱼发表于 2025-6-18 14:19
应该是恶意团队有针对性欺诈卡巴把，诱导KSN拉白名单，昨天毛豆那个DLL白名单删了，拉黑了

上次有一个壁纸引擎的赛博花柳，会释放一个假的系统进程，一看ksn直接是白名单，发邮件过去才去白（但是没拉黑）卡巴的工程师也是够差劲的，和火绒座一桌去

显示全部楼层 · 发表于 2025-6-18 14:36:26

迈克菲 kill

显示全部楼层 · 发表于 2025-6-18 14:46:33

eset已经云拉黑，2025/6/18 14:36:19;文件系统实时防护;文件;C:\Users\Y8219\Downloads\250506\installer.exe;Suspicious Object;已通过删除清除;NT AUTHORITY\SYSTEM;尝试通过应用程序访问文件时发生事件: C:\Windows\System32\SearchProtocolHost.exe (DEED03C223863CE892E28137C96861FF06C61212).;50ED448A7A5423F1C920F4314E5A84569B80816B;2025/6/18 14:35:57

显示全部楼层 · 发表于 2025-6-18 16:24:39

opentip 显示clean并不代表ksn加白，右键菜单查看信誉才能看见是否有ksn信任

显示全部楼层 · 发表于 2025-6-18 17:40:03

用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果描述: 检测到
类型: 木马
名称: Trojan.Win64.Agent.smejvm
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: installer.exe
对象路径: E:\Virus\250506
对象的 MD5: A791F0FA574E7F375D0F78327CA1ACFA
原因: 数据库
数据库发布日期: 今天，2025/6/18 10:07:00

显示全部楼层 · 发表于 2025-6-18 17:47:24

微软确认了样本为Malware

显示全部楼层 · 发表于 2025-6-18 18:24:54

sep miss

显示全部楼层 · 发表于 2025-6-18 19:17:17

cortex 可能miss
install运行后无反应，其他文件无法运行

显示全部楼层 · 发表于 2025-6-18 20:24:36

本帖最后由飞翔的蒲公英于 2025-6-18 20:27 编辑

安天智甲（网责版）
4个文件报毒1个《Installer》

奇安信天守：
4个文件报毒1个《Installer》

显示全部楼层 · 发表于 2025-6-18 20:31:26

Avira found TR/AVI.Agent.a3b3a6

显示全部楼层 · 发表于 2025-6-18 20:33:30

aikafans 发表于 2025-6-18 13:56
密码 virus
avast扫描 0

上報Avast, 已經可以檢測為MalwareX-gen [Misc]

[病毒样本] AsyncRAT盗币之强对抗免杀版

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

浏览过的版块