Trojan/Agent.ass

火绒版本

image-20240514204748800

前言

最近翻出来一个古早时别人做的一个空壳程序

image-20240514192218961

大概长下图这样:

image-20240514192152801

寻思看看里面写了点什么,遂脱壳,运行一看火绒报了个木马

image-20240514192613049

提交误报

程序不大,脱完壳大概13kb,拖调试器翻了几眼什么东西也没有,点“确认刷取”按钮触发的函数也就是弹个信息框,纯纯空壳

image-20240514193055367

网络行为也没有:

image-20240514193241797

那就提交误报吧:

image-20240514192903498

两天后

image-20240514193406515

人工检测完了都说没误报,肯定是我技术不够没看到隐藏的十分隐蔽的恶意代码吧

又翻了两小时

什么也没有

会不会检测字符串…?

(改一下敏感字符串)

改个字符串吧

加个下划线保存一下

image-20240514194345520

99f1726d115393dc673c4295c47ee9a5

新建一个易语言窗口程序

给启动窗口改个标题吧

image-20240514194935244

直接运行

image-20240514194907927

编译出来看看吧

image-20240514195136545

真是字符串检测啊?

所以“非误报”指的是符合这个特征名预期的报毒情况,而不是程序本身真正存在威胁?

非易语言

image-20240514200235884

用Visual Studio的桌面程序模板生成的程序改了个标题,可以发现没有报毒,因此推测这个通杀报法还判断了易语言的特征

小结

通过上面简单的探测,触发Trojan/Agent.ass报毒名需要如下要点:

  • 程序为易语言编写
  • 窗口标题中包含“刷Q币”(窗口需要被载入)

个人观点

对易语言编写的、窗口标题中包含“刷Q币”三个字的程序报毒并不过分。有相当数目的人喜欢使用易语言编写一些恶意程序,部分杀软检测到易语言特征直接报FlyStudio。以这个程序举例,刷Q币本身是不可实现的,而易语言编写的程序带着一个如此有诱惑力的却又不可实现的标题,说明这个程序有极大可能在诱导用户打开,从而执行想要做的事情(通常是不好的事情)。因此,火绒对这种程序报毒,明显可以预防部分潜在的未能检测到的恶意行为,即使有误报程序,也是绝对利大于弊的。

其他杀软

image-20240514204435803

安博士对窗口名为“刷Q币”的程序报了个可疑,而窗口名为“刷Q”的程序报无检出

又扫了一次,报毒引擎数变为22和23了,不再扫了。