Zuhna Chat #RuRAT (2022-04-25)

显示全部楼层 · 发表于 2022-4-27 12:40:48

本帖最后由 anthonyqian 于 2022-4-27 12:52 编辑

Eset小粉絲发表于 2022-4-26 10:19
https://bbs.kafan.cn/thread-2228615-1-1.html

应该是同一个家族

全新的安装包主流的只有Avast、ESET在报了

https://www.virustotal.com/gui/f ... f5bf2ab5e?nocache=1

又要麻烦卡巴分析了

Avast抗免杀有两下子啊，有点意外。。。
————

卡巴双击秒杀+回滚 PDM:Trojan.Win32.Generic

显示全部楼层 · 发表于 2022-4-27 13:25:12

本帖最后由 anthonyqian 于 2022-4-27 13:39 编辑

诶不对本贴的样本对应的下载链接是 hxxps://www.zuhna[.com/ZuhnaTrillian.exe，下载好后hash也变了，VT上只有BD一家在报（https://www.virustotal.com/gui/f ... 67e1ccfd1?nocache=1）

@Eset小粉絲

————
新下载的样本卡巴斯基扫描+双击missed

显示全部楼层 · 发表于 2022-4-27 13:50:26

anthonyqian 发表于 2022-4-27 12:40
全新的安装包主流的只有Avast、ESET在报了

https://www.virustotal.com/gui/f ... f5bf2ab5e?no ...

卡巴应该要以启发式检测会比较好，.abcd 这类的不行。。。

显示全部楼层 · 发表于 2022-4-27 14:11:26

Eset小粉絲发表于 2022-4-27 13:50
卡巴应该要以启发式检测会比较好，.abcd 这类的不行。。。

卡巴回复：

This file is already detected. Detection verdicts are correct.
setup.exe - Backdoor.Win32.RABased.ain
ZuhnaTrillian.exe - VHO:Trojan-Dropper.Win32.Agent.ge

然而我电脑和VT上都没报，难道卡巴那边的毒库和我这边不一样吗

显示全部楼层 · 发表于 2022-4-27 15:10:54

火绒上交了

显示全部楼层 · 发表于 2022-4-28 03:50:52

MS Defender：解压一段时间后报告Trojan:Win32/Wacatac.B!ml

显示全部楼层 · 发表于 2022-4-28 12:16:10

这玩意安装之后卸载不了删除不掉 EIS KILL FS扫描MISS 双击MISS 安装成功之后FS报毒但没卵用

显示全部楼层 · 发表于 2022-4-28 12:23:01

Log
C:\Users\123\OneDrive\桌面\suf_launch.exe » INDIGOROSE » On Post Install_0.lua - Win32/TrojanDownloader.IndigoRose.AP trojan - cleaned by deleting [1]

显示全部楼层 · 发表于 2022-4-30 18:07:59

Eset小粉絲发表于 2022-4-26 10:19
https://bbs.kafan.cn/thread-2228615-1-1.html

应该是同一个家族

ESET居然还没有回复我

（但好像已经可以杀了

）

显示全部楼层 · 发表于 2022-4-30 18:56:25

MS Defender目前setup.exe和ZuhnaTrillian.exe都机器学习击杀

[病毒样本] Zuhna Chat #RuRAT (2022-04-25)