AsyncRAT loader x1

显示全部楼层 · 发表于 2022-5-22 11:35:53

360扫描miss 双击：
时间操作说明次数
2022-05-22 11:32:37 [已阻止] 修改开机启动项防护 1 次
详细描述：
注册表位置：HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\[Runtime_Broker]
注册表内容："C:\Users\**\AppData\Roaming\Runtime_Broker.exe"
进程：C:\Users\**\Desktop\Runtime_Broker.exe
父进程：C:\Users\**\Desktop\Discord Accout Nuke.exe , (103)
风险文件：C:\Users\**\Desktop\Runtime_Broker.exe
防护信息: RD|40, 40, -1|18D8C4391B614698704DF2CDE28E88C6|a89ff71d569e090e849bb40ebe7ed5ae95ca5c8b

过了一会，自动拦截生成的衍生物

显示全部楼层 · 发表于 2022-5-22 11:51:43

本帖最后由 761773275 于 2022-5-22 11:53 编辑

SOPHOS 杀衍生物

在 Runtime_Broker.exe 检测到 Troj/Krypt-JZ

复制代码

显示全部楼层 · 发表于 2022-5-22 12:16:28

Avast 双击后CC发威，同时也杀了衍生物，这两次CC都还挺给力的啊！

显示全部楼层 · 发表于 2022-5-22 12:48:19

fs扫描双击均miss

显示全部楼层 · 发表于 2022-5-22 13:19:58

UNknownOoo 发表于 2022-5-22 10:17
不清楚为什么，第二次双击后衍生物报Heur.ML.PE.C (不可能反应那么快吧...
本体依然不杀

报Heur.ML.PE.__是对的，因为WIBD:HEUR.MalBehavior.__报法本来就与静态特征有联动。

尤其是MalBehavior.B，这种报法能杀的，监控也能杀

显示全部楼层 · 发表于 2022-5-22 13:21:48

本帖最后由真小读者于 2022-5-22 13:23 编辑

咖啡。主楼附件不杀。链接拦截

日志出现RP

2022/05/22 13:20:33 C:\Users\XXXX\Downloads\Runtime Broker.exe 1 2 JTI/Suspect.196612!18d8c4391b61 13f1760cca4c9a585a2316cf67a83bb7f403f887099db420a48cf31ef947e6f5
2022/05/22 13:20:33 C:\Users\XXXX\Downloads\Runtime Broker.exe 15 2 PWS-FDHM!18D8C4391B61 13f1760cca4c9a585a2316cf67a83bb7f403f887099db420a48cf31ef947e6f5
2022/05/22 13:20:33 C:\Users\XXXX\Downloads\Runtime Broker.exe 1 2 Real Protect-LS!18d8c4391b61 13f1760cca4c9a585a2316cf67a83bb7f403f887099db420a48cf31ef947e6f5

显示全部楼层 · 发表于 2022-5-22 13:31:17

Dr.Web防火墙拦截

显示全部楼层 · 发表于 2022-5-22 14:19:53

奇安信是不是在样本区蹲点了啊，云反应的这么快

显示全部楼层 · 发表于 2022-5-22 14:31:30

Kaspersky
UDS:Backdoor.MSIL.Crysan.gen

显示全部楼层 · 发表于 2022-5-22 15:39:57

火绒扫描miss

[病毒样本] AsyncRAT loader x1

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源