卡巴斯基防御失败

likexcm

昨天晚上不小心点击了一个程序，卡巴拦截了一个jpg文件
按照提示重启后，想着已经解决了，没再多想了，之后用着用着摄像头突然被打开了，才发现卡巴斯基没能清除
查看使用摄像头的程序，是飞利浦的软件名称，我还觉得奇怪，从来没有装过这个厂商的软件
将文件打包传到virustotal之后发现26个杀软报毒，卡巴斯基还给自动拉到信任组了
卡巴是最新版本，所有配置都是自动清除不了就删除，开了深度启发和扫描所有创建和修改的文件(听说这样开容易卡，但实际上我不觉得卡)，其他设置全是默认，最后，卡巴拦截了一个阿里云的OSS域名nm25.oss-cn-hangzhou.aliyuncs.com

后续使用360系统急救箱在PE扫描，删了一点回到系统后继续使用急救箱再次处理时病毒生产了新的程序且无法删除，处理失败
最后使用avast的在Windows启动前扫描清除活跃病毒，换ESET+火绒收尾，最后ESET SysInspector生成xml配合AI辅助分析是否还有残留的进程

由于样本在处理过程中被删除，只能附上当时的virustutal和微步云的链接
https://www.virustotal.com/gui/f ... 240f6f5c2564733d942
https://s.threatbook.com/report/ ... 240f6f5c2564733d942
黑DLL
https://c.wss.cc/f/hmbe1xw4gro

tihs

信任的是白文件吧，飞利浦这个在哪里见过，不是fakeapp就是银狐
防不住很正常，BD主防也很牛，防不住的也有；卡巴主防防不住的话，其他杀软主防大概率也不行
只是这个黑dll没入库就很那个啥

黑dll
https://www.virustotal.com/gui/f ... 2c7e47a04de5d5d7b8d

pal家族

没文件，不能帮你上报了。

likexcm

pal家族 发表于 2025-7-31 10:25
没文件，不能帮你上报了。

黑DLL还是可以找到的
https://c.wss.cc/f/hmbe1xw4gro

1073328164

https://opentip.kaspersky.com/38 ... /results?tab=upload
dll已经云黑了

pal家族

Trojan.Win32.Dllhijack.ybw




Hello,

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.

Best regards, Maxim Starodubov, Malware Analyst Team Lead
39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com https://securelist.com
https://opentip.kaspersky.com/ - get insights about suspicious files, hashes, URLs, IP addresses or domain names

__________________________________________

From: ?@qq.com
Received: 2025-07-31 02:44:33
Sent: 2025-07-31 02:44:10
To: newvirus@kaspersky.com
Subject: RE: RE: Kaspersky false positive and false negative report[KL-2629514]

Hello!
The uploaded file is a DLL HiJacking type malware.
It is the payload from SilverFox backdoor.

awsl10000次

pal家族 发表于 2025-7-31 10:53
Trojan.Win32.Dllhijack.ybw

可否把这个样本也给上报一下
https://bbs.kafan.cn/thread-2283488-1-1.html
https://opentip.kaspersky.com/82 ... /results?tab=lookup
提交重新分析四天了依然没拉黑...

pal家族

awsl10000次 发表于 2025-7-31 12:36
可否把这个样本也给上报一下
https://bbs.kafan.cn/thread-2283488-1-1.html
https://opentip.kaspersk ...

银狐母体以后再说。太大了附件传不了。我想别的办法

pal家族

awsl10000次 发表于 2025-7-31 12:36
可否把这个样本也给上报一下
https://bbs.kafan.cn/thread-2283488-1-1.html
https://opentip.kaspersk ...

已解决 将入库。

Hello,

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.

Best regards, Ilya, Malware Analyst, Kaspersky
39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com https://securelist.com
https://opentip.kaspersky.com/ - get insights about suspicious files, hashes, URLs, IP addresses or domain names

__________________________________________

From: ？@qq.com
Received: 2025-07-31 07:01:11
Sent: 2025-07-31 07:00:57
To: newvirus@kaspersky.com
Subject: RE: RE: RE: Kaspersky false positive and false negativereport[KL-2629514]

Thanks for reply.
Please also re-check SHA256::
826D88DF725345AB8AEF52C494CA1497F1B2AFD99BEEEC1FF3A239096CC56573
I have already uploaded to Opentip.
It is also a SilverFox backdoor malware.