#Fake #Telegram #金眼狗 APT-Q-27 (2022-06-08)

swizzer

，就一个. 发表于 2022-6-8 18:21

感谢！
没人气了，晚上补


感觉很奇怪，我这里反复测试都没产生这个衍生物；但是从dump出来的dll来看，这个衍生物确实是这个家族一贯的payload

在我的认知里应该内存防护杀Taskmg.exe才对···楼下测试的ESET也确实是这样的，不清楚为什么智量没有内存杀Taskmg.exe···

@智量官方

wwwab

swizzer 发表于 2022-6-8 18:12
能麻烦看下智量安装文件夹下有没有MalwareMEM字样开头的文件夹吗？
如果有，是否方便打包传上来一份？谢 ...

这啥文件，这是啥操作

开开心心卖手机

EMSI双击安装完成后杀衍生物dll，其余没有了

心醉咖啡

毒霸扫描miss

2849

火绒
风险路径：C:\Users\Administrator\Downloads\infected\Telesetup.msi,
病毒名：TrojanDropper/JS.Maloader.l,
病毒ID：d5f3719e88614ea1,
处理结果：已处理，删除文件
另外，这个是手动扫描的结果，实时监控不报，还是老问题

anthonyqian

ESET 扫描missed，双击安装后

时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
2022/6/8 18:31:55;高级内存扫描程序;文件;系统内存 > Taskmg.exe(13816);Win32/Farfli.CUO 特洛伊木马 的变量;已包含被感染的文件 (下次重新启动后);;;766A50D1080A27CD7F6A6B3B44EF5C7B07B75885;

aboringman

360：miss

全程无弹窗，仅有一条拦截记录。

1. 时间        操作        说明        次数
   
2. 2022-06-08 18:42:29        [自动阻止]          模拟按键        防护 1 次
   
3. 详细描述：
   
4. 进程：C:\Windows\System32\msiexec.exe "C:\Windows\System32\msiexec.exe" /i "C:\Users\123\Desktop\Telesetup.msi" , (1, 24)
   
5. 动作：模拟按键
   
6. 路径：
   

复制代码

虽然没有反应，但是估计是行为可疑所以触发了自动上传（奇怪的是上报区没有任何记录），本体后来还是被检出了，只不过。。。。。。



历史重演了

奇安信安装完击杀衍生物dll

2507455901

kill

huangzihang

2507455901 发表于 2022-6-8 18:55
kill

这个新版的报毒添加信任太容易了不好，俗话说得好，防毒不防傻啊

zkr090612

联管kill