恶意软件免杀与技术（2022.10.08）_disable or uninsta11 any-virus

APT41免杀技术

在感染过程中两次执行相同的 CHM 文件。第一次执行表现出良性活动，而第二次执行隐秘地执行恶意行为。
最初执行体是名为 pss10r.chm (SHA256: 3d279aa8f56e468a014a916362540975958b9e9172d658eb57065a8a230632fa)的CHM文件。
使用attrib命令可以显示隐藏的二进制文件
https://unit42.paloaltonetworks.com/polyglot-file-icedid-payload/

Lazarus针对MacOS的攻击

使用持久性代理~/Library/LaunchAgents/com.wifianalyticsagent.plist
在Intel或M1 Apple硅机器上运行并使用临时签名进行签名，这意味着它们将通过Apple的 Gatekeeper 检查，尽管与公认的开发者身份无关。
https://www.sentinelone.com/blog/lazarus-operation-interception-targets-macos-users-dreaming-of-jobs-in-crypto/

专门针对YouTube的YTStealer

通过以–headless模式启动Web浏览器，恶意软件可以像攻击者坐在计算机上一样操作浏览器，而当前用户不会注意到任何事情。为了控制浏览器，恶意软件使用了一个名为Rod的库。Rod 提供了一个高级接口来通过 DevTools 协议控制浏览器，并将自己作为 Web 自动化和抓取工具进行营销。
https://www.intezer.com/blog/research/ytstealer-malware-youtube-cookies/

LilithBot

恶意软件即服务 (MaaS)
检查代表物理连接端口的 Win32_PortConnector，例如 DB-25 pin male、Centronics 或 PS/2。这确保了它在物理机上而不是虚拟机上。

通过powershell命令Add-MpPreference -ExclusionPath添加windows defender排除路径