2x

anthonyqian

kaba666 发表于 2020-10-27 11:21
cmd,那个文件没反应

卡巴opentip甚至给cmd未检出威胁的评价

ELOHIM

sichuanwenxuan 发表于 2020-10-27 10:01
SEP和WD扫描不报。

微软提示：

arrange.exe > PUA:Win32/SCAir

cy0072005

不怎么厉害啊，mse都杀了

a233

Avast

另外一个双击触发CyberCapture

QWQxd

管家智量kill

WAR314159

ESET KILL

1. 时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
   
2. 2020/10/27 18:26:52;文件系统实时防护;文件;C:\Users\Downloads\c8655e41-c749-49ec-b0b7-3d5e7a0e2f4f.tmp;多个检测;已通过删除清除;DESKTOP-PTTR5MT\;在通过应用程序修改的文件上发生了事件: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe (E1B4E3FD99ADABD405EE4AE25F32400F25351975).;AA8E9DFFB108907A7F18371261B89C82D60611B2;
   

复制代码

swizzer

cmd样本生成衍生物，智量双击不报。此时恶意dll（NewTaskSchedule.dll&xb_base.dll）已经加载，计划任务也已创建。

虽然在我这里没有进行远控行为，也未与C&C进行恶意通信（仅发送了空数据包），但内存防护不应该无反应啊···


（多说一句，似乎我这里在3次双击后就再也连不上C&C了。。。挂梯子又太慢。。木马服务器好像ban了我的IP···所以没办法进行重复试验排除偶然误差了）

@智量官方

computero

swizzer 发表于 2020-10-27 23:16
cmd样本生成衍生物，智量双击不报。此时恶意dll（NewTaskSchedule.dll&xb_base.dll）已经加载，计划任务也 ...

智量已经卸载，换上了卡巴，美滋滋啊

浮生如梦

小狮子两个都kill

智量官方

swizzer 发表于 2020-10-27 23:16
cmd样本生成衍生物，智量双击不报。此时恶意dll（NewTaskSchedule.dll&xb_base.dll）已经加载，计划任务也 ...

老实说，从昨天开始我们这此木马一直没下载成功payload, 木马本身会下载60.169.77.137/1397.zip 但是这个文件已经不存在了，服务器倒是还开着.

你说的情况可能是属实的，但是我们这一直没下载到本体，所以也没能详尽分析。那两个DLL文件你那还存在吗?
如果可以请发到virus@wisevector.com 谢谢
另外智量的内存防护对Gh0st, 大灰狼, 以及从它们基础上的白加黑远控具有很高的识别率(RAT报法)，但是这玩意只是个下载者，所以未被内存防护识别.