一个具有360有效签名的病毒样本，具体干什么的不知道

显示全部楼层 · 发表于 2025-9-8 10:24:30

00006666 发表于 2025-9-8 00:52
而且这种伪造应该过不了DSE，不能用来加载驱动，我记得以前样本区有个一样的。

修改后的驱动也可以被加载，以前急救箱里有个版本就是随机修改我们驱动的名字和增加随机字符到签名节，修改驱动MD5来躲避基于名字和MD5拦截驱动的加载。不过后来都是根据签名来干你了，所以意义不大。

显示全部楼层 · 发表于 2025-9-8 11:27:02

avast扫描 miss

显示全部楼层 · 发表于 2025-9-8 12:51:26

哀~有沒大神白話一下3位大佬的內容，小白真的只能看得一愣一愣的

显示全部楼层 · 发表于 2025-9-8 13:48:00

escsvc.exe末尾插入了一个hta文件，hta文件首先会生成C:\escsvc\toolsps.exe、C:\escsvc\2.txt，然后解密2.txt并执行powershell，最终payload是一个RAT，具有键盘记录、远程屏幕监控、命令执行等功能

显示全部楼层 · 发表于 2025-9-8 14:10:44

pal家族发表于 2025-9-8 09:43
好像改成HTA之后可以运行一下
原版运行了没反应。会在C盘根目录释放文件夹和几个文件，具体干嘛的不明，都 ...

名字为HTA，可能会被安全软件扫描，不过微软实在贴心，可以直接用mshta.exe来直接运行这个C:\escsvc\escsvc.exe，木马作者笑不动了。

显示全部楼层 · 发表于 2025-9-8 14:18:05

wowocock 发表于 2025-9-8 14:10
名字为HTA，可能会被安全软件扫描，不过微软实在贴心，可以直接用mshta.exe来直接运行这个C:\escsvc\escs ...

银狐是不是一群天南地北的人在不断接力更新啊
感觉不像是一个组织里的人

显示全部楼层 · 发表于 2025-9-8 16:36:16

加油发表于 2025-9-7 21:11
有签名，证书错误，高可信签名证书，签名链验证不通过，原因：数字签名被篡改，证书字段SignerInfo解析异 ...

天穹是什么分析系统呀？

显示全部楼层 · 发表于 2025-9-8 16:45:00

wowocock 发表于 2025-9-8 14:10
名字为HTA，可能会被安全软件扫描，不过微软实在贴心，可以直接用mshta.exe来直接运行这个C:\escsvc\escs ...

确实贴心，直接改后缀也能直接跑

显示全部楼层 · 发表于 2025-9-8 17:09:22

1562859748 发表于 2025-9-8 16:36
天穹是什么分析系统呀？

奇安信的沙箱，相当于在奇安信原本情报沙箱基础上加了阿里AI大模型自带AI总结的新产物
https://sandbox.qianxin.com/sscc-tq-web/

显示全部楼层 · 发表于 7 天前

腾讯电脑管家不报

[病毒样本] 一个具有360有效签名的病毒样本，具体干什么的不知道