tg机器人发的

显示全部楼层 · 发表于 2021-9-30 16:16:26

如题，终于遇到个给我发样本的机器人

附：相关沙箱报告
https://ata.360.cn/taskstatus?tasklist=14465188044801
（360貌似64位系统要花钱）
https://s.threatbook.cn/report/f ... p1_enx64_office2013
https://www.joesandbox.com/analysis/861615
顺便看报告里的地址发现了个挺有意思的文件服务器（http://202.8.123.99:6547/），把文件下载下来了（https://ws28.cn/f/6iqsdig28q8 ），感兴趣的可以自己扫扫看（注：压缩包懒得加密了；某些文件没有后缀名）

显示全部楼层 · 发表于 2021-9-30 16:20:21

咖啡月神

显示全部楼层 · 发表于 2021-9-30 16:20:40

红伞云拉黑

显示全部楼层 · 发表于 2021-9-30 16:21:06

大卡巴斯基

事件: 对象已删除
用户: LIDAO\lidao
用户类型: 活动用户
应用程序名称: 7zG.exe
应用程序路径: C:\Program Files\7-Zip
组件: 文件反病毒
结果说明: 已删除
名称: UDS:DangerousObject.Multi.Generic
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: Payroll9987k.exe
对象路径: E:\浏览器下载\Payroll9987k.exe
MD5: AA7A11A7909081AF556E6B6A16E671DE

显示全部楼层 · 发表于 2021-9-30 16:21:47

本帖最后由 aboringman 于 2021-9-30 21:36 编辑

360：miss

安全大脑

奇安信

时间操作说明次数
2021-09-30 21:31:54 [已清除] 发现木马：Trojan.Generic 防护 1 次
详细描述：
木马名称：Trojan.Generic
所在路径：C:\Users\123\Desktop\Payroll9987k.exe
2021-09-30 21:31:54 [已阻止] 发现恶意网络访问防护 1 次
详细描述：
URL：http://【.】202.8.123.99【.】:6547/k
IP Port：202.【.】8.123.99【.】:6547
进程：C:\Users\123\Desktop\Payroll9987k.exe
2021-09-30 21:31:46 [已允许] 进程创建防护 1 次
详细描述：
进程：C:\Windows\explorer.exe
动作：进程创建
路径：C:\Users\123\Desktop\Payroll9987k.exe
风险文件：C:\Users\123\Desktop\Payroll9987k.exe
防护信息: AD|10, -1, 30|AA7A11A7909081AF556E6B6A16E671DE|0aec7ff7a6d36fff2bbfff14256bdf9d2c3b89e8

复制代码

实机的话，个人信息可能一开始就被窃取了。。。。。。（恶意网络访问这步，360的提示）

显示全部楼层 · 发表于 2021-9-30 16:23:58

金山毒霸报毒

显示全部楼层 · 发表于 2021-9-30 16:52:08

aboringman 发表于 2021-9-30 16:21
360：miss

安全大脑

360客户端和360安全大脑不同步，这个应该实锤了吧、、

显示全部楼层 · 发表于 2021-9-30 16:59:01

ESET detected.

Payroll9987k.exe - a variant of Win64/TrojanDownloader.Agent.LY trojan

显示全部楼层 · 发表于 2021-9-30 18:27:46

FSS

显示全部楼层 · 发表于 2021-9-30 20:03:46

双击该程序命令字符窗口一闪而过，没有显著的破坏效果

[可疑文件] tg机器人发的

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源