VirusTotal智能搜索itw查找从github下载的恶意Android样本-Toy模板网

这篇具有很好参考价值的文章主要介绍了VirusTotal智能搜索itw查找从github下载的恶意Android样本。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

1. Introduction

ITW是in the wild的缩写，VirusTotal提供了itw这个搜索关键词，可以搜到从某个url（部分url）上下载到的样本。

作者写过的其他VirusTotal智能搜索用法的文章见参考1和2.

比如为了查找从github下载的恶意Android样本，可以构造如下查找条件：

itw:"github" tag:apk positives:15+

itw指定样本下载的url中含有的字符串，tag说明查找的是Android样本，positives说明这个样本必须被大于15家Vendor打到。

搜到的一个样本如下所示

VirusTotal智能搜索itw查找从github下载的恶意Android样本,Android安全,网络安全,安全

可以从RELATIONS中看到，这个样本是从 https[:]//github[.]com/markgambino/file 上下载到的。

访问这个github，可以看到

VirusTotal智能搜索itw查找从github下载的恶意Android样本,Android安全,网络安全,安全

这个样本确实存在，而且从commits中可以看到作者近期有大量的更新。

把这个样本下载下来，upload到VT上分析，根据分析结果初步可以判断它的family为Banker。

后续：笔者发现这个样本后，过了几个小时，再看时发现它被github的作者删除了。文章来源地址https://www.toymoban.com/news/detail-518362.html

VirusTotal智能搜索，https://blog.csdn.net/ybdesire/article/details/121665678?spm=1001.2014.3001.5501
VirusTotal智能搜索安卓样本示例，https://blog.csdn.net/ybdesire/article/details/123885855?spm=1001.2014.3001.5501

到了这里，关于VirusTotal智能搜索itw查找从github下载的恶意Android样本的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！