楼主: Kingbatsoft
收起左侧

[可疑文件] [已解决]疑似病毒文件

  [复制链接]
Kingbatsoft
 楼主| 发表于 2022-5-21 23:35:44 来自手机 | 显示全部楼层
本帖最后由 Kingbatsoft 于 2022-5-25 10:24 编辑

1

评分

参与人数 1人气 +1 收起 理由
anthonyqian + 1 感谢解答: )

查看全部评分

swizzer
发表于 2022-5-21 23:41:37 | 显示全部楼层
anthonyqian 发表于 2022-5-21 23:27
好的 文件来源有了 C2就是S同学截图里那个吗?
远控画面是真的吗……

JoeSandbox上有这个样本的报告。
https://www.joesandbox.com/analysis/999080
智量官方
发表于 2022-5-21 23:46:18 | 显示全部楼层
本帖最后由 智量官方 于 2022-5-21 23:54 编辑
swizzer 发表于 2022-5-21 21:19
成功与C&C通信。智量内存防护无反应。

@智量官方

你好,该样本未发现远控功能,Powershell代码作用是获取系统目录路径




样本是minecraft外{过}{滤}挂

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
hipoxiaxxx + 1 感谢解答: )

查看全部评分

swizzer
发表于 2022-5-21 23:54:57 | 显示全部楼层
智量官方 发表于 2022-5-21 23:46
你好,该样本未发现远控功能,Powershell代码作用是获取系统常见目录路径

感谢解答

那么样本的外联是为何呢···而且从截图来看是有一定的下行流量的

智量官方
发表于 2022-5-21 23:59:11 | 显示全部楼层
本帖最后由 智量官方 于 2022-5-22 00:11 编辑
swizzer 发表于 2022-5-21 23:54
感谢解答

那么样本的外联是为何呢···而且从截图来看是有一定的下行流量的

样本会连接 https://gitee.com/*********
校验外{过}{滤}挂用户名,密码有效性

评分

参与人数 1人气 +1 收起 理由
Hibike + 1 感谢解答: )

查看全部评分

智量官方
发表于 2022-5-22 00:01:55 | 显示全部楼层
实际执行, 解密Powershell代码的作用确实是获取目录路径, 与分析结果一致,

& {
[Console]::OutputEncoding = [System.Text.Encoding]::UTF8
Add-Type @"
using System;
using System.Runtime.InteropServices;
public class Dir {
  [DllImport("shell32.dll")]
  private static extern int SHGetKnownFolderPath([MarshalAs(UnmanagedType.LPStruct)] Guid rfid, uint dwFlags, IntPtr hToken, out IntPtr pszPath);
  public static string GetKnownFolderPath(string rfid) {
    IntPtr pszPath;
    if (SHGetKnownFolderPath(new Guid(rfid), 0, IntPtr.Zero, out pszPath) != 0) return "";
    string path = Marshal.PtrToStringUni(pszPath);
    Marshal.FreeCoTaskMem(pszPath);
    return path;
  }
}
"@
[Dir]::GetKnownFolderPath("5E6C858F-0E22-4760-9AFE-EA3317B67173")
[Dir]::GetKnownFolderPath("3EB685DB-65F9-4CF6-A03A-E3EF65729F3D")
[Dir]::GetKnownFolderPath("F1B32785-6FBA-4FCF-9D55-7B8E7F157091")
}

评分

参与人数 1人气 +1 收起 理由
swizzer + 1 感谢解答: )

查看全部评分

Kingbatsoft
 楼主| 发表于 2022-5-22 00:02:57 | 显示全部楼层
智量官方 发表于 2022-5-22 00:01
实际执行, 解密Powershell代码的作用确实是获取目录路径, 与分析结果一致,

& {

那有可能就是360报错了
智量官方
发表于 2022-5-22 00:13:49 | 显示全部楼层
Kingbatsoft 发表于 2022-5-22 00:02
那有可能就是360报错了

Apache log4j 漏洞利用据我们行为遥测分析,大部分确实具有jar->启动Powershell命令行的异常行为链。
360应该是写了条规则所有java启动powershell可疑命令行的行为都是apache log4j  漏洞利用。。。
多变的风向
发表于 2022-5-22 00:17:37 | 显示全部楼层
360现在开了晶核之后就是什么都拦 没有它不拦的
anthonyqian
发表于 2022-5-22 01:26:52 | 显示全部楼层
ESET决定添加检测:

The detection for this threat will be included in the next update of detection engine, expected version: 25307.

Suspicious jar.jar - Java/Agent.OX trojan


@Eset小粉絲

评分

参与人数 1人气 +1 收起 理由
Jirehlov1234 + 1 ????

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 12:19 , Processed in 0.094254 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表