HANCITOR INFECTION WITH COBALT STRIKE

显示全部楼层 · 发表于 2022-2-2 10:12:08

显示全部楼层 · 发表于 2022-2-2 10:16:38

本帖最后由 ICzcz 于 2022-2-2 10:20 编辑

ESET：~~miss 1X~~本身无害（运行已经被kill的moexx.bin）

时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
2022/2/2 10:17:18;文件系统实时防护;文件;Hancitor-malware\Hancitor-malware\Y2095D2860.doc;VBA/TrojanDownloader.Agent.XIX 特洛伊木马的变量;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;C29DF92C803F7566F2EA5480921DD068E79E6AAB;2022/2/2 10:17:06
2022/2/2 10:17:19;文件系统实时防护;文件;Hancitor-malware\Hancitor-malware\M1646q2843.doc;VBA/TrojanDownloader.Agent.XIX 特洛伊木马的变量;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;3FD74251D1D1B9386A8D8DE9CE96001FFAB60BF2;2022/2/2 10:17:06
2022/2/2 10:17:19;文件系统实时防护;文件;Hancitor-malware\Hancitor-malware\m3252n1320.doc;VBA/TrojanDownloader.Agent.XIX 特洛伊木马的变量;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;3C0698E18DB2CF685AF1F10C01BCD55F0A337787;2022/2/2 10:17:06
2022/2/2 10:17:19;文件系统实时防护;文件;Hancitor-malware\Hancitor-malware\I2000V2608.doc;VBA/TrojanDownloader.Agent.XIX 特洛伊木马的变量;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;7B7D5A86FEFABBCA0117FA62BBEDADB016E0F4FD;2022/2/2 10:17:06
2022/2/2 10:17:20;文件系统实时防护;文件;Hancitor-malware\Hancitor-malware\berp.doc;Generik.NXBFKMS 特洛伊木马的变量;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;886E5EBB40D2D8CEFCA0A010D1F680FE9193832F;2022/2/2 10:17:06
2022/2/2 10:17:20;文件系统实时防护;文件;Hancitor-malware\Hancitor-malware\e2725F1597.doc;VBA/TrojanDownloader.Agent.XIX 特洛伊木马的变量;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;C01EE2AFF4A024E8D9056F3182530EB93729E4A8;2022/2/2 10:17:06
2022/2/2 10:17:20;文件系统实时防护;文件;Hancitor-malware\Hancitor-malware\n1530T1750.doc;VBA/TrojanDownloader.Agent.XIX 特洛伊木马的变量;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;CE5AF8E05F837FD5D698AA649C0B8E064D3CD5D4;2022/2/2 10:17:06
2022/2/2 10:17:20;文件系统实时防护;文件;Hancitor-malware\Hancitor-malware\a1316X2328.doc;VBA/TrojanDownloader.Agent.XIX 特洛伊木马的变量;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;E4B2DE4BEB53C09A83835C0E2D263D7A48B45C0F;2022/2/2 10:17:06
2022/2/2 10:17:24;文件系统实时防护;文件;Hancitor-malware\Hancitor-malware\t2114Q1525.doc;VBA/TrojanDownloader.Agent.XIX 特洛伊木马的变量;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;24710E41476DE55530F63C469F56D5F69EF53684;2022/2/2 10:17:06
2022/2/2 10:17:24;文件系统实时防护;文件;Hancitor-malware\Hancitor-malware\y1531A2185.doc;VBA/TrojanDownloader.Agent.XIX 特洛伊木马的变量;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;C21D7EB18F053C149834A6701B9B7E38E0323DC2;2022/2/2 10:17:06
2022/2/2 10:17:24;文件系统实时防护;文件;Hancitor-malware\Hancitor-malware\moexx.bin;Win32/GenKryptik.FQJI 特洛伊木马的变量;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;20B37F0D541542925AE321A6350B64A04ABAA3B2;2022/2/2 10:17:06

复制代码

显示全部楼层 · 发表于 2022-2-2 10:47:19

本帖最后由 846472713 于 2022-2-2 11:25 编辑

ashampoo 9x
cylance 1x

显示全部楼层 · 发表于 2022-2-2 10:56:19

Ahnlab V3 Lite Miss ALL

显示全部楼层 · 发表于 2022-2-2 11:04:48

MES kill moexx.bin Artemis!D90F5BB9E103

显示全部楼层 · 发表于 2022-2-2 12:09:05

BEST扫描剩余bat
bat双击edr阻止

显示全部楼层 · 发表于 2022-2-2 12:19:58

本帖最后由 aboringman 于 2022-2-2 12:38 编辑

Norton：1

moexx.bin：Trojan.Gen.MBT及Heur.AdvML.A

这个berp.doc，我昨天私下里见过这个东西。。。。。。

拖进虚拟机，抽风云又杀9个。。。。。。

2022/2/2 12:24:42,高,Y2095D2860.doc (W97M.Cloud.1) 检测方自动防护,已阻止,已解决 - 不需要操作,已执行操作: 0
2022/2/2 12:24:42,高,y1531A2185.doc (W97M.Cloud.1) 检测方自动防护,已阻止,已解决 - 不需要操作,已执行操作: 0
2022/2/2 12:24:42,高,t2114Q1525.doc (W97M.Cloud.1) 检测方自动防护,已阻止,已解决 - 不需要操作,已执行操作: 0
2022/2/2 12:24:42,高,n1530T1750.doc (W97M.Cloud.1) 检测方自动防护,已阻止,已解决 - 不需要操作,已执行操作: 0
2022/2/2 12:24:42,高,m3252n1320.doc (W97M.Cloud.1) 检测方自动防护,已阻止,已解决 - 不需要操作,已执行操作: 0
2022/2/2 12:24:42,高,M1646q2843.doc (W97M.Cloud.1) 检测方自动防护,已阻止,已解决 - 不需要操作,已执行操作: 0
2022/2/2 12:24:42,高,I2000V2608.doc (W97M.Cloud.1) 检测方自动防护,已阻止,已解决 - 不需要操作,已执行操作: 0
2022/2/2 12:24:41,高,e2725F1597.doc (W97M.Cloud.1) 检测方自动防护,已阻止,已解决 - 不需要操作,已执行操作: 0
2022/2/2 12:24:41,高,a1316X2328.doc (W97M.Cloud.1) 检测方自动防护,已阻止,已解决 - 不需要操作,已执行操作: 0

复制代码

1.bat双击提示缺少moexx.bin（因为已经寄了）

berp.doc有密码，pass.

Reported

显示全部楼层 · 发表于 2022-2-2 13:18:14

aboringman 发表于 2022-2-1 20:19
Norton：1

moexx.bin：Trojan.Gen.MBT及Heur.AdvML.A

抽风云…我笑死

显示全部楼层 · 发表于 2022-2-2 13:24:48

IKARUS - 10/12

[02.02.2022 13:24:06] On-demand scan started: "user_defined"
[02.02.2022 13:24:06] Found, 0.16s, SigName: "Trojan.VB.Valyria", SigId: 4258744, Type: "VIRUS", File: "C:\Users\promi\Desktop\Hancitor-malware\Hancitor-malware\e2725F1597.doc"
[02.02.2022 13:24:07] Found, 0.203s, SigName: "Trojan.VB.Valyria", SigId: 4258744, Type: "VIRUS", File: "C:\Users\promi\Desktop\Hancitor-malware\Hancitor-malware\a1316X2328.doc"
[02.02.2022 13:24:07] Found, 0.328s, SigName: "Trojan.VB.Valyria", SigId: 4258744, Type: "VIRUS", File: "C:\Users\promi\Desktop\Hancitor-malware\Hancitor-malware\M1646q2843.doc"
[02.02.2022 13:24:07] Found, 0.407s, SigName: "Trojan.VB.Valyria", SigId: 4258744, Type: "VIRUS", File: "C:\Users\promi\Desktop\Hancitor-malware\Hancitor-malware\I2000V2608.doc"
[02.02.2022 13:24:07] Found, 0.390s, SigName: "Trojan.VB.Valyria", SigId: 4258744, Type: "VIRUS", File: "C:\Users\promi\Desktop\Hancitor-malware\Hancitor-malware\m3252n1320.doc"
[02.02.2022 13:24:07] Found, 0.94s, SigName: "Trojan.VB.Valyria", SigId: 4258744, Type: "VIRUS", File: "C:\Users\promi\Desktop\Hancitor-malware\Hancitor-malware\n1530T1750.doc"
[02.02.2022 13:24:07] Found, 0.62s, SigName: "Trojan.VB.Valyria", SigId: 4258744, Type: "VIRUS", File: "C:\Users\promi\Desktop\Hancitor-malware\Hancitor-malware\t2114Q1525.doc"
[02.02.2022 13:24:07] Found, 0.47s, SigName: "Trojan.VB.Valyria", SigId: 4258744, Type: "VIRUS", File: "C:\Users\promi\Desktop\Hancitor-malware\Hancitor-malware\y1531A2185.doc"
[02.02.2022 13:24:07] Found, 0.62s, SigName: "Trojan.VB.Valyria", SigId: 4258744, Type: "VIRUS", File: "C:\Users\promi\Desktop\Hancitor-malware\Hancitor-malware\Y2095D2860.doc"
[02.02.2022 13:24:07] Found, 0.344s, SigName: "Trojan-Spy.Win32.CoinStealer", SigId: 4289495, Type: "VIRUS", File: "C:\Users\promi\Desktop\Hancitor-malware\Hancitor-malware\moexx.bin"
[02.02.2022 13:24:07] On-demand scan FINISHED: "user_defined"
[02.02.2022 13:24:07] ----------------------------------------------------
[02.02.2022 13:24:07] Directories scanned: 2
[02.02.2022 13:24:07] Files scanned: 12
[02.02.2022 13:24:07] Virus found: 10
[02.02.2022 13:24:07] ----------------------------------------------------

复制代码

显示全部楼层 · 发表于 2022-2-2 13:44:52

aboringman 发表于 2022-2-2 12:19
Norton：1

moexx.bin：Trojan.Gen.MBT及Heur.AdvML.A

见过berp.doc可还行

[病毒样本] HANCITOR INFECTION WITH COBALT STRIKE

本帖子中包含更多资源

本帖子中包含更多资源