超雄银狐换了个皮 vt首发：4/72

inhh1

zfc234 发表于 2025-7-5 00:47
BEST双击后安装程序自退，防篡改组件阻止tProtect.dll，系统自己重启后无异常，BEST功能正常

BD企业版这个点拦截后后续所有的exe都不会释放，计划任务也没建立，所以没有问题。
建议控制台把漏洞驱动的操作改成删除

zfc234

inhh1 发表于 2025-7-5 09:28
BD企业版这个点拦截后后续所有的exe都不会释放，计划任务也没建立，所以没有问题。
建议控制台把漏洞驱 ...

白嫖别人的嘻嘻，所以没法修改控制台

inhh1

paimon 发表于 2025-7-4 22:19
Symantec未检出，双击杀毒直接被关闭。。。

SESC锁库0627，直接A！500机学杀了
看起来sesc和sep的查杀区别也不小

UNknownOoo

图钉鱼 发表于 2025-7-4 23:26
从静态特征已确认样本高度一致，异卵双胞胎吧，也不能说完全一样。拆包差异在file.dat和build.dat上面。动 ...

捉个小虫：火绒和ESET取特征的文件其实并不是同一个，火绒是捉的启动脚本（即msi -> !_StringData文件中的明码字符串，稍微耐心点的话能定位到火绒取的特征）



至于ESET的话则是捉了黑dll（对应 msi -> Binary.Binary1 文件）msi运行后会根据脚本重命名该文件并释放到指定目录



这个家族的黑DLL之前有给火绒上报过...已经被绕过n个特征了（另外火绒的实时/执行监控并不会因为上面那条脚本特征触发，所以我更倾向于火绒把特征工程做在黑DLL上）
（火绒针对该家族黑DLL的特征有：Trojan/HiJack.mm；Trojan/HiJack.ke；Trojan/HiJack.mw；Trojan/Loader.gc；Trojan/Loader.gh；HEUR:Trojan/ShellLoader.sw；其中“HEUR:Trojan/ShellLoader.sw”、“Trojan/Loader.gc”等多条特征被反复更新以覆盖最新威胁）

ESET的话三月份 Win64/Agent.FCM  特征被绕过后重新上报了下，到现在都还能覆盖（

图钉鱼

UNknownOoo 发表于 2025-7-5 12:41
捉个小虫：火绒和ESET取特征的文件其实并不是同一个，火绒是捉的启动脚本（即msi -> !_StringData文件中 ...

感谢补充~
我写的时候已经凌晨4-5点了，不想再深挖了。
免杀挖下去可以精确到字节/ML调参级别，再挖下去连样本分析师的都活全干了~还有就是没装火绒/eset



eset的特征很复杂，定不准，放弃
火绒的特征码容易定，火绒把特征定在MSI文件数据库的表结构描述上，这个表变化很小。具有基因特征。
火绒特征码：Trojan/BAT.Starter.ee
定位在!_StringData文件（数据库的表结构描述）
特征：偏移00001579-00001583处
十六进制：64 61 74 6C 62 64 62 75 69 6C 64
文本：      datlbdbuild

bbs2811125

最近貌似中了银狐，之前一直用的ESET不知道是不是某些软件捆绑进来的，企微和钉钉一直不让用了。用卡巴、火绒、avira扫了一圈杀了几个毒都过不了企鹅和钉钉的检测，最后还是用管家的银狐专杀给“解决”了，但钉钉依然提示要申诉才能用，总觉得是企鹅推销电脑管家的策略

Rukia

BD个人版
改变了策略 不在重复杀runtime.exe和winnt.exe
C:\Program Files (x86)\Windows NT\filedat.dll is infected with Trojan.GenericS.6626

飞翔的蒲公英

idhaname 发表于 2025-7-4 21:59
https://sandbox.ti.qianxin.com/s ... ZfVs1TQSZq0HOVfsdqT

奇安信沙箱检出

本地检出和沙箱的资源不一样。奇安信的沙箱检出的，等几天本地也不支持查杀，效率特别慢。