一个具有360有效签名的病毒样本，具体干什么的不知道

ANY.LNK

@wowocock 奇怪的东西，这是360的官方文件吗？

VT认为签名无效，微软上报系统信任这个签名（文件默认为clean）。签名是SHA1，2015年，很古老，但记录的是2025年6月22日首次见到这个文件（同ESET，认为文件很新）

把签名扒了之后微软机器学习报告

VT：


存在反调试的行为



还有反虚拟机fasterror退出

去掉签名的版本放在最后


（我得睡了，明天还要忙一整天）

00006666

ANY.LNK 发表于 2025-9-8 00:21
@wowocock 奇怪的东西

VT认为签名无效，微软上报系统信任这个签名（文件默认为clean）。签名是SHA1，201 ...

他要让时间戳生效必须改成2015年啊，不改2015年系统就直接不认了，伪造签名打时间戳的时候把电脑改成2015年才能用自建时间戳服务器打时间戳，签名有效期就是那个时候的。而且跟泄露签名还不一样，这种签名是用技术手段伪造的。
以前样本区有见过这种东西的，这种东西只能让系统R3层面认为是真签名，驱动加载验证签名都不一定能过。

ANY.LNK

00006666 发表于 2025-9-8 00:32
他要让时间戳生效必须改成2015啊，不让系统就直接不认了，伪造签名打时间戳的时候把电脑改成2015年才能用 ...

问题是，如果这个东西是恶意的，那么即使是复制过来的签名也应该是对不上的无效的才对。
这东西有效，不单是时间戳的问题，要么就是360的官方文件，要么就是签名泄露了，要么就是还有什么不为人知的方式保留有效性

00006666

ANY.LNK 发表于 2025-9-8 00:42
问题是，如果这个东西是恶意的，那么即使是复制过来的签名也应该是对不上的无效的才对。
这东西有效，不 ...

签名泄露VT就不会直接说是没签名了，你去看沙箱就知道了，所有沙箱都能告诉你这种是伪造的签名，只能骗骗微软系统而已。SHA1签名应该是有某种能篡改伪造的漏洞，但是只能骗骗系统。

00006666

ANY.LNK 发表于 2025-9-8 00:42
问题是，如果这个东西是恶意的，那么即使是复制过来的签名也应该是对不上的无效的才对。
这东西有效，不 ...

而且这种伪造应该过不了DSE，不能用来加载驱动，我记得以前样本区有个一样的。

pal家族

好像改成HTA之后可以运行一下
原版运行了没反应。会在C盘根目录释放文件夹和几个文件，具体干嘛的不明，都是十年前的文件。
（Bing的插件安装器？）

wowocock

ANY.LNK 发表于 2025-9-8 00:21
@wowocock 奇怪的东西，这是360的官方文件吗？

VT认为签名无效，微软上报系统信任这个签名（文件默认为c ...

这种很明显就是正常的软件在最后增加了一堆SHELLCODE，这里看是VBSript。程序本身执行没影响，不过需要其他程序来读取执行里面的VBS。因为在签名节里增加的东西不会影响签名。

wowocock

00006666 发表于 2025-9-8 00:44
签名泄露VT就不会直接说是没签名了，你去看沙箱就知道了，所有沙箱都能告诉你这种是伪造的签名，只能骗骗 ...

这种以前一般会把类似的SHELLCODE放到图片或其他非PE文件里，但有些杀软会扫描非PE里面的代码，发现木马特征也会报，所以现在放到带白签名的EXE更保险点，因为很多杀软检测到白签名PE都不会去扫描里面的东西，所以放里面会比较安全。

wowocock

需要提供下配套的其他程序，看是谁读取里面的SHELLCODE来加载执行VBS的。

aboringman

wowocock 发表于 2025-9-8 10:15
需要提供下配套的其他程序，看是谁读取里面的SHELLCODE来加载执行VBS的。

假的搜狗输入法
https://bbs.kafan.cn/thread-2284856-1-1.html
(出处: 卡饭)

这玩意的衍生物之一，过火绒