2个远控样本，蛮好玩的！

温馨小屋

卡巴


12.02.2020 14.02.20;检测到的对象( 文件 );C:\Users\hyperkaba\Desktop\1\截图\qq截图.jpg                                                  .exe;C:\Users\hyperkaba\Desktop\1\截图\qq截图.jpg                                                  .exe;HEUR:Backdoor.Win32.Generic



另一个双击miss

yjwfdc

第一个，qq游戏白加黑dll,
双进程守护，连接 43.248.201.182 (江苏省宿迁市蒲公英网络BGP数据中心)

a445441

温馨小屋

BD第二个miss

yjwfdc

第二个，sun.exe 无数字签名，连接 43.226.38.106 (辽宁省大连市BGP数据中心)

2020/2/12 21:13:48    创建文件    允许
进程: d:\病毒\200212\2\截图\qq截图.jpg                                                  .exe
目标: C:\$loading\Word\1.png

2020/2/12 21:13:55    创建文件    允许
进程: d:\病毒\200212\2\截图\qq截图.jpg                                                  .exe
目标: C:\$loading\Word\Sun.exe

2020/2/12 21:13:58    创建文件    允许
进程: d:\病毒\200212\2\截图\qq截图.jpg                                                  .exe
目标: C:\$loading\Word\Xssdll.txt

2020/2/12 21:13:59    创建文件    允许
进程: d:\病毒\200212\2\截图\qq截图.jpg                                                  .exe
目标: C:\$loading\Word\EngineDP.bat

2020/2/12 21:14:03    修改文件    允许
进程: d:\病毒\200212\2\截图\qq截图.jpg                                                  .exe
目标: C:\Users\pydn200131\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
规则: [应用程序]*\病毒\* -> [文件]*

2020/2/12 21:14:15    创建新进程    允许
进程: d:\病毒\200212\2\截图\qq截图.jpg                                                  .exe
目标: c:\$loading\word\sun.exe
命令行: "C:\$loading\Word\Sun.exe"

2020/2/12 21:14:30    修改注册表值    阻止
进程: d:\病毒\200212\2\截图\qq截图.jpg                                                  .exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Direct3D\MostRecentApplication\Name
值: qq截图.jpg                                                  .exe

2020/2/12 21:15:09    修改注册表值    阻止
进程: c:\$loading\word\sun.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
值: 0x00000000(0)

2020/2/12 21:15:11    修改注册表值    阻止
进程: c:\$loading\word\sun.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
值: 0x00000000(0)

2020/2/12 21:15:13    修改注册表值    阻止
进程: c:\$loading\word\sun.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
值: 0x00000000(0)

LSPD

Norton kill 1x miss 1x 双击被过

www-tekeze

安天报“qq截图.jpg”灰色 (通杀易语言)，无BD管家Miss All 。。

静影沉璧

ESET

干掉黑dll
Common.dll->Win32/Farfli.CSG trojan


第二个易语言的算miss

QVM360

静影沉璧 发表于 2020-2-12 21:43
ESET

干掉黑dll

另外一个易语言程序火绒拦截
E绒防御成功！

SUARP-BIGNUM

kfne12 发表于 2020-2-12 21:02
看楼主这ID就知道楼主是卖木马的。。

[:01:溯源看看就知道了