DllSideLoading

munsimli

雙擊卡巴與HMPA都沒反應

UNknownOoo

a233 发表于 2025-7-8 23:18
Avast貌似判断不了DLL是根源

其实看报法的话，avast应该是知道DLL被劫持了的（IDP.SideLoad.Language3）

ulyanov2233

UNknownOoo 发表于 2025-7-8 23:32
其实看报法的话，avast应该是知道DLL被劫持了的（IDP.SideLoad.Language3）

奇安信沙箱也知道这可能被劫持，但没认出黑dll的行为，只是警告说别打开

该样本文件名为SusMal.7z，是一个危险级别的恶意样本。它包含三个文件：Language.dll、hbdsl.exe和Update.xml。样本通过7z格式进行压缩，解压后包含一个疑似使用DLL侧加载技术的恶意程序hbdsl.exe和一个动态链接库Language.dll，以及一个XML文件Update.xml。样本的EXIF信息显示其修改时间为2025年7月8日22:35:00，文件大小为897 KiB。

样本的解压过程显示，它尝试解压一次，没有使用密码，解压文件列表包括Language.dll、hbdsl.exe和Update.xml。hbdsl.exe和Language.dll的MD5值分别为86810e2d993f7327eb5b25b5d17d21c1和2de30de15b6f712a90e9352e6c4e757d，而Update.xml的MD5值为546f9d7ce6c250fc416e23747ae177b8。这些文件的详细信息表明，它们分别属于不同的文件类型，且在不同的时间戳下被解压。

hbdsl.exe被标记为疑似使用DLL侧加载技术，攻击者可能利用可信签名程序hbdsl.exe在加载动态链接库时未进行合法性签名校验，将合法库替换为恶意库，从而导致可信程序运行时加载恶意库。然而，样本中的hbdsl.exe和Language.dll的风险级别被标记为未知，这可能意味着它们在当前的分析环境中没有表现出明显的恶意行为，但考虑到它们的潜在风险，仍需进一步的分析和监控。

总体而言，该样本通过伪装成合法文件，利用DLL侧加载技术，企图绕过安全防护机制，加载并执行恶意代码。这种技术使得恶意软件更难被检测和防御，因此需要采取更严格的措施来防范此类攻击。

1073328164

迈克菲扫描 miss

lsop1349987

emsi双击miss

tony099

munsimli 发表于 2025-7-8 23:30
雙擊卡巴與HMPA都沒反應

今天早上已经上报了 等人工

ulyanov2233

@wowocock 肉鸡哥这里有个火绒人工分析漏的样本，你让分析师再看看呗

tony099

卡巴人工入库了

在附件中发现新的恶意软件。
Language.dll - Trojan.Win32.Loader
它的检测将包含在下一次更新中。

ulyanov2233

tony099 发表于 2025-7-9 10:29
卡巴人工入库了

在附件中发现新的恶意软件。

付费支持确实比op快，我昨天通过op提交了reanalyze分析现在还没回复我，等我试用期到了用盒装版激活，也联系付费支持

Jirehlov1234

tony099 发表于 2025-7-9 02:29
卡巴人工入库了

在附件中发现新的恶意软件。

Trojan.Win32.Loader？没后缀吗