收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 TG中文语言包后门x2 0809 vt3/70
12下一页
返回列表 发新帖
查看: 2212|回复: 16
收起左侧

[病毒样本] TG中文语言包后门x2 0809 vt3/70

[复制链接]
kyuno1
发表于 2022-8-9 10:57:19 | 显示全部楼层 |阅读模式
本帖最后由 kyuno1 于 2022-8-9 15:02 编辑

https://t.wss.ink/f/901110pnu8b 复制链接到浏览器打开
发帖时间 vt 样本大的3/70   小的10/70
TIP已经上报 KIS应该没问题
  1. Hello,

  3. New malicious software was found in the attached file.
  4. Backdoor.Win32.Lotok.igh
  5. Its detection will be included in the next update.
  6. Thank you for your help.

  8. Best regards, Alexey Safonov, Malware Analyst, Kaspersky Lab
  9. 39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com https://securelist.com
  10. https://opentip.kaspersky.com/ - get insights about suspicious files, hashes, URLs, IP addresses or domain names
复制代码

  1. Hello,

  3. Already detected as HEUR:Backdoor.Win32.Lotok.gen.


  6. Best regards, Alexey Safonov, Malware Analyst, Kaspersky Lab
  7. 39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com https://securelist.com
  8. https://opentip.kaspersky.com/ - get insights about suspicious files, hashes, URLs, IP addresses or domain names
复制代码

更新邮件反馈
回复

举报

Shake2333
发表于 2022-8-9 11:06:28 | 显示全部楼层
eset扫描1x,剩下那个双击允许后寄(已上报)





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

喀反
发表于 2022-8-9 11:15:43 | 显示全部楼层
本帖最后由 喀反 于 2022-8-9 11:31 编辑

WD扫描miss双击 :Trojan:Win32/Wacatac.B!ml  
点击安装{纸飞机}简体中文语言包.exe 拦截衍生物,但WD被自动添加大量病毒文件路径的排除项

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

kuroandsan
发表于 2022-8-9 11:24:59 | 显示全部楼层
BD 扫描1x
  1. The file D:\Download\vir\样本0809 TG语言包后门x2\点击此安装简体中文语言包.exe is infected with Gen:Suspicious.Cloud.4.9y2@ai4RFzji and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
复制代码


另一个双击kill衍生物

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

ytysh
发表于 2022-8-9 11:40:45 | 显示全部楼层
Ahnlab V3 Lite Miss All.
回复

举报

biue
发表于 2022-8-9 12:13:40 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Solomondemeter
发表于 2022-8-9 12:36:49 | 显示全部楼层
Shake2333 发表于 2022-8-9 11:06
eset扫描1x,剩下那个双击允许后寄(已上报)

最新毒库已经可以清空了
回复

举报

aboringman
发表于 2022-8-9 13:42:40 | 显示全部楼层
本帖最后由 aboringman 于 2022-8-9 14:33 编辑
  1. 文件名: 点击此安装简体中文语言包.exe
  2. 威胁名称: Heur.AdvML.B完整路径: C:\Users\123\Downloads\点击此安装简体中文语言包.exe

  4. ____________________________

  6. ____________________________


  9. 在电脑上
  10. 2022/8/9 ( 13:30:15 )

  12. 上次使用时间
  13. 2022/8/9 ( 13:32:15 )

  15. 启动项


  18. 已启动


  21. 威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。

  23. ____________________________


  26. 点击此安装简体中文语言包.exe 威胁名称: Heur.AdvML.B
  27. 定位


  30. 极少用户信任的文件
  31. Norton 社区中有不到 5 名用户 使用了此文件。

  33. 极新的文件
  34. 该文件已在 不到 1 周 前发行。


  37. 此文件具有高风险。


  40. ____________________________


  43. https://down.wss.show/4malln0/9/01/90104malln0?cdn_sign=1660023056-3-0-2ef65510ff1e2488b162c7e232056099&exp=240&response-content-disposition=attachment; filename="样本0809 TG语言包后门x2.7z"; filename*=utf-8''%E6%A0%B7%E6%9C%AC0809%20TG%E8%AF%AD%E8%A8%80%E5%8C%85%E5%90%8E%E9%97%A8x2.7z
  44. 已下载文件  从 wss.show
  45. 来源: 外部介质

  47. 点击此安装简体中文语言包.exe

  49. ____________________________

  51. 文件操作

  53. 文件: C:\Users\123\Downloads\ 点击此安装简体中文语言包.exe 已删除
  54. ____________________________


  57. 文件指纹 - SHA:
  58. 471e406053feb914fc576cb4695050c88d10ad7012dfe8dde7713ce7e625fb0f
  59. 文件指纹 - MD5:
  60. a33d9d6b8e759dbcd5511a2b786cfc71
复制代码




放行杀一衍生物

  1. 文件名: php-cgi.exe
  2. 威胁名称: Heur.AdvML.B完整路径: C:\PHP5433\php-cgi.exe

  4. ____________________________

  6. ____________________________


  9. 在电脑上
  10. 2022/8/9 ( 13:49:46 )

  12. 上次使用时间
  13. 2022/8/9 ( 13:51:46 )

  15. 启动项


  18. 已启动


  21. 威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。

  23. ____________________________


  26. php-cgi.exe 威胁名称: Heur.AdvML.B
  27. 定位


  30. 极少用户信任的文件
  31. Norton 社区中有不到 5 名用户 使用了此文件。

  33. 极新的文件
  34. 该文件已在 不到 1 周 前发行。


  37. 此文件具有高风险。


  40. ____________________________


  43. 来源: 外部介质

  45. 源文件:
  46. php-cgi.exe

  48. ____________________________

  50. 文件操作

  52. 文件: C:\PHP5433\ php-cgi.exe 已删除
  53. ____________________________


  56. 文件指纹 - SHA:
  57. 69cbde348be4d9dd508880c33f6fe569cc2da4eb81d98948c1e11c1e60e69cf2
  58. 文件指纹 - MD5:
  59. 7db4e0f25fdebc403871c68a9774816d
复制代码

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Tom179090
发表于 2022-8-9 14:20:33 | 显示全部楼层
本帖最后由 Tom179090 于 2022-8-9 20:41 编辑

名称: HEUR:Backdoor.Win32.Lotok.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: 点击此安装简体中文语言包.exe
对象路径: E:\infected\样本0809 TG语言包后门x2
对象的 MD5: A33D9D6B8E759DBCD5511A2B786CFC71


名称: UDS:Backdoor.Win32.Lotok.igh
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: 点击安装{纸飞机}简体中文语言包.exe
对象路径: E:\infected\样本0809 TG语言包后门x2
对象的 MD5: 2D6E5A9CB00F3CA036EA045C34F4199F

——————

GD
Virus: Gen:Variant.Lazy.231720 (Engine A)

The file was disinfected.

File: 点击此安装简体中文语言包.exe
Directory: E:\infected\样本0809 TG语言包后门x2

另一个双击后:衍生物kill:
Access to the infect file is denied.

File:         C:\PHP5433\php-cgi.exe
Virus:         Gen:Variant.Graftor.784487 (Engine A), Win32.Packed.NoobyProtect.B (Engine B)
Engines:         Engine A: AVA 25.33707, Engine B: GD 27.28382



后触发BEAST
G DATA TOTAL SECURITY has prevented malicious software from running on your system.
The malicious program was identified by BEAST (Behavior Monitoring) as: Verdict.Malware

The following processes were therefore terminated by G DATA for security reasons:
        ----------------------------------------------------------------
        E:\infected\样本0809 TG语言包后门x2\点击安装纸飞机简体中文语言包.exe
        E:\infected\样本0809 TG语言包后门x2\点击安装纸飞机简体中文语言包.exe
        ----------------------------------------------------------------

The following programs responsible were moved to Quarantine by G DATA:
        ----------------------------------------------------------------
        C:\Users\d_pri\AppData\LocalLow\SogouPY\InputStaticstics.dat
        C:\ProgramData\data\UPX.rar
        C:\ProgramData\data\rar.ini
        C:\ProgramData\Microsoft\Program\ziliao.jpg
        ----------------------------------------------------------------

Further information:
Module: FileCloud
File: E:\infected\样本0809 TG语言包后门x2\点击安装纸飞机简体中文语言包.exe
Sha256:
Md5:
Size: 0
Ref: 44cfcae3-3e4e-4075-bf9d-19ba23c278ba

回复

举报

heavencc
发表于 2022-8-9 14:47:03 | 显示全部楼层
智量
  1. 2022-08-09 14:46:30 C:\Users\c i\Desktop\样本0809 TG语言包后门x2\点击此安装简体中文语言包.exe                                              Heur.ML.PE.A        
  2. 2022-08-09 14:46:25 C:\Users\c i\Desktop\样本0809 TG语言包后门x2\点击安装{纸飞机}简体中文语言包.exe                                          Trojan.Dropper.Generic
复制代码
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-5 01:55 , Processed in 0.144730 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表