Posts

X-Sec Antivirus开发者日志 - 写在3.0.0.0Beta发版之后

准确来说应该得叫X-Sec Malware Scanner了,因为我无情地砍掉了实时监控(没时间做啊...而且引擎效率在合入瑞星的SDK后更低了) 你没听错,这个花了1年多时间(其实很多时候我都忙于工作,而团队里另一个开发则是去年下半年就开始摸鱼)做出来的Beta版,合入了瑞星引擎的SDK,成为了一个标标准准的多引擎怪物(瑞星的本地引擎和云引擎都合入了),在我这边做扫描测试的时候,检出率恐怖如斯。以后用户要找我解除误报/检测新威胁,我就有更多的选择了(双倍的检出【何止双倍】,双倍的误报,快乐~) 其实整个新版开发下来,时间主要烧在两个地方,一个是界面定制,另外一个则是引擎整合。以前的版本都是就着WPF的原版控件用的,我们的UI设计师说原版控件太挫,给我们新设计了一套界面,然后我主要负责这个新界面的实现(对原版控件疯狂魔改)。最后看下来,我觉得,实现了80%吧(还是有一些遗憾的),整体来说还是挺满意的,当时给UI看成品截图的时候他觉得也还行;至于引擎整合,这里的坑就有不少了(当然有一部分原因得归咎于我没仔细看引擎SDK文档),而且顺带我还修复了潜藏在我自己的引擎里的几个古董级bug(至少存在3年),甚至可以单独写一篇博文来说道说道。 这次发版还有一个遗憾就是升级功能还没做好(准确来说只写了一点点),由于一开始设计的时候就是想把升级功能整合进主程序里面,这就导致升级这一块需要考虑的东西比以前多得多。至于什么时候能做好我就真不清楚了,毕竟现在时间挺吃紧的,我的工作(反病毒相关)也不是啥轻松的活,就希望自己以后能挤出些时间加紧开发吧(争取今年上半年做好?)

DTLMiner

Here is the timeline of DTLMiner, I'm working for Rising Antivirus and monitoring this malware. For more details please refer to links at the end of this blog. 2020.06.03 Linux Add code for platform check(x86_64 XMRig only) Add code for remove other miner(process/file/cmdline/network) Try to spread through SSH public key login Windows Update Lateral Movement Add redis unauthorized access check & rce(linux only) 2020.06.02 Update 1st-stage script Add code for uninstall specific security product(using wmic) 2020.06.01 When SSH Brute success, DTLMiner will send command through plink to let compromised host download and execute specific bash script(mainly for mine cryptocurrency) 2020.05.28 Remove related call of SSH Brute module RDP Brute module fully recovered, along with new method to send command into RDP 2020.05.25 Add a new domain, switch main domain to t.amynx.com 2020.05.21 Add a new domain, switch main domain to t.awcna.com Update Lateral Movement Add SSH Brute module