QuasarRAT 1X (Delivered Through HTML ID Attributes) VT扫描无引擎检出

显示全部楼层 · 发表于 2022-2-12 14:54:19

本帖最后由 00006666 于 2022-2-12 15:38 编辑

RAT

VT扫描无引擎检出 https://www.virustotal.com/gui/file/ef579d9bf2dba387c3be9effa09258902c4833dfb7634f4ed804d96e8849da74

样本分析

微步沙箱

显示全部楼层 · 发表于 2022-2-12 15:25:49

本帖最后由 Eset小粉絲于 2022-2-12 15:28 编辑

后辍改为.iso 解压 > Confirmation.vbs

https[://cdn.discordapp[.com/attachments/941031528085983305/941031632507379732/File
https[://ipwhois[.app/json
FREEHOST9.PUBLICVM[.COM

显示全部楼层 · 发表于 2022-2-12 15:26:26

https://www.virustotal.com/gui/f ... 139e3a827f54a70a0c7

显示全部楼层 · 发表于 2022-2-12 15:28:48

ANY.LNK 发表于 2022-2-12 15:24
问一下，那个样本分析的原地址在哪里？

https://isc.sans.edu/forums/diar ... D+Attributes/28330/

显示全部楼层 · 发表于 2022-2-12 14:58:02

Avast启用上报大法

显示全部楼层 · 发表于 2022-2-12 14:58:38

G DATA miss

显示全部楼层 · 发表于 2022-2-12 15:01:05

本帖最后由 swizzer 于 2022-2-12 15:30 编辑

锁库智量占位
vbs脚本双击：WIBD:HEUR.MalPowerShell.B0

显示全部楼层 · 发表于 2022-2-12 15:02:33

本帖最后由秋日之殇于 2022-2-12 15:08 编辑

样本内部的vbs脚本卡巴云拉黑了

显示全部楼层 · 发表于 2022-2-12 15:13:37

秋日之殇发表于 2022-2-12 15:02
样本内部的vbs脚本卡巴云拉黑了

卡巴拉黑的是不是那个Confirmation.vbs，分析报告里面写了:Like the comments say, it’s an official file from Microsoft that is often used by attackers

显示全部楼层 · 发表于 2022-2-12 15:17:37

00006666 发表于 2022-2-12 15:13
卡巴拉黑的是不是那个Confirmation.vbs，分析报告里面写了:Like the comments say, it’s an official fi ...

对

显示全部楼层 · 发表于 2022-2-12 15:20:04

秋日之殇发表于 2022-2-12 15:17
对

那个VBS文件现在VT上面还是未知的(没有扫描结果)，可以从卡巴隔离区提取文件上传扫描看一下结果。

显示全部楼层 · 发表于 2022-2-12 15:24:36

00006666 发表于 2022-2-12 15:20
那个VBS文件现在VT上面还是未知的(没有扫描结果)，可以从卡巴隔离区提取文件上传扫描看一下结果。

问一下，那个样本分析的原地址在哪里？

[病毒样本] QuasarRAT 1X (Delivered Through HTML ID Attributes) VT扫描无引擎检出

本帖子中包含更多资源

本帖子中包含更多资源

评分

评分

浏览过的版块