#Farfli (via Tg.) (2022/6/17)

aboringman

1. 2022-06-17 18:48:59     恶意软件(HEUR/QVM202.0.0176.Malware.Gen)MD5:68661a1c009f33ad719b1d4439750842已删除此文件，如果您发现误删，可从隔离区恢复此文件。        d:\360极速浏览器x下载\hybrid.com

复制代码

GreatMOLA

ESET
template.txt:Win32/Farfli.CUO
PYTHON22.dll:Win32/Agent.ADYU

lvseqiji

UNknownOoo 发表于 2022-6-17 18:43
所以...智量没杀到根源？

放心，其他杀软不入库也杀不到dll的，有的甚至会因为白名单放过这个exe

kuroandsan

Norton kill template.txt

双击：
防火墙联网提示（默认允许），允许后DP阻止可疑行为

00006666

360

下载防护



剩余的白EXE和黑DLL

双击  拦截添加开机自启动

1. 时间        操作        说明        次数
   
2. 2022-06-17 18:59:48        [已阻止]          修改 开机启动项        防护 1 次
   
3. 详细描述：
   
4. 注册表位置：HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\[SelfRunDemo]
   
5. 注册表内容："E:\360安全浏览器下载\Distrovia\Payload\ApplicPywizable.exe"
   
6. 进程：E:\360安全浏览器下载\Distrovia\Payload\ApplicPywizable.exe
   
7. 父进程：C:\Windows\explorer.exe , (103)
   
8. 风险文件：E:\360安全浏览器下载\Distrovia\Payload\python22.dll
   
9. 防护信息: RD|30, 30, 10|E8EDC6E4F877DFB8770EBE8FFA93A275|<sha1>b6686ddaa5ee4681937f2433197ca2eed458e77b</sha1>
   

复制代码

心心相印

md kill

00006666

lvseqiji 发表于 2022-6-17 18:59
放心，其他杀软不入库也杀不到dll的，有的甚至会因为白名单放过这个exe

360其实一直拦截的都是黑DLL的行为，比如说前面15楼，能拦截黑DLL

之前同家族样本的那个拦截，日志里面也显示了是由白EXE发起的网络连接，不过隔离的也是黑DLL，主防能记录到行为的真实来源

https://bbs.kafan.cn/thread-2237399-1-1.html

LSPD

UNknownOoo 发表于 2022-6-17 18:45
把它加入可信任后智量拦截了网站访问

请善用编辑功能

00006666

触发网络防护，隔离黑DLL

1. 时间        操作        说明        次数
   
2. 2022-06-17 19:19:28        [已阻止]          发现恶意网络访问        防护 1 次
   
3. 详细描述：
   
4. Domain：nsjdhmdjs.com
   
5. 进程：C:\Users\Administrator\Desktop\Payload\ApplicPywizable.exe
   

复制代码

00006666

aboringman 发表于 2022-6-17 18:50

这次的这个，双击起来会直接触发网络防护