阿里云分享病毒样本提取和正体

hiphoper

我昨天在《公理邊緣》正體中文模組 - CodeBay.IN下游戏汉化补丁，疑似被映像劫持到其他网站Send Large Files - Free Secure File Transfer - TransferNow (that-soft.com)下载到了病毒，右键火绒杀毒扫描提示正常，运行EXE时提示病毒，幸好被火绒拦截了，附上安全日志：详细经过请看感谢火绒拯救了我才重装的系统，运行下载程序需谨慎！_国内杀毒软件_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)
样本被我上传到阿里云网盘： https://www.aliyundrive.com/s/rZXhbZrL9Cr提取码: rg79
火绒提取样本解压密码是bbs.kafan.cn，另外一个是1234，以上。

swizzer

ESET

1. 日志
   
2. E:\Downloads\#Samples\2022-08-13\setup.exe > INNO > {tmp}\helper.dll - Win32/GenKryptik.FYMJ 特洛伊木马 的变量 - 已通过删除清除 [1]
   

复制代码

hiphoper

swizzer 发表于 2022-8-13 09:48
ESET

弱弱问一下，我10年前的dell 4120用火绒+智量跑得动不？

北清

360 KILL ALL

swizzer

hiphoper 发表于 2022-8-13 09:55
弱弱问一下，我10年前的dell 4120用火绒+智量跑得动不？

大概跑得动。不过我个人不建议同时安装多款安全软件

hiphoper

swizzer 发表于 2022-8-13 10:16
大概跑得动。不过我个人不建议同时安装多款安全软件

嗯嗯，多谢建议，我还是继续单奔火绒吧，不卡省心够用。

Shake2333

MES 双击杀衍生物
自适应威胁防护已修复 C:\Users\Test\AppData\Local\Temp\is-ER9J1.tmp\helper.dll 文件，因为其信誉 (已知恶意文件) 低于配置的清理阈值。
分析器/检测程序
产品名称        McAfee Endpoint Security
产品版本        10.7.0.3590
McAfee GTI 查询        是
功能名称        On-Execute Scan

威胁
执行的操作        清理
威胁类别        检测到恶意软件
威胁事件 ID        35107
威胁已被处理        是
威胁名称        ATP/Suspect!638681d437ef
威胁严重性        严重
威胁时间戳        2022年8月13日 10:41 AM
威胁类型        特洛伊木马程序

源
源访问时间        2022年8月13日 10:41 AM
源创建时间        2022年8月13日 10:41 AM
源文件路径        C:\Users\Test\AppData\Local\Temp\is-JG2PQ.tmp
源文件大小        3196416
源修改时间        2022年8月13日 10:41 AM
源进程名称        setup.tmp

目标
目标哈希        ce70b8f8ae1580866cbc26695cba81cc
目标名        helper.dll
目标路径        C:\Users\Test\AppData\Local\Temp\is-ER9J1.tmp
目标进程名        helper.dll

其他
媒介类型        本地系统
检测消息        自适应威胁防护检测

rogersg

Kasperky
1223[1].exe - UDS:DangerousObject.Multi.Generic
1123[1].exe - UDS:DangerousObject.Multi.Generic
123[1].exe - UDS:DangerousObject.Multi.Generic
SlIr4xtGO.exe - UDS:DangerousObject.Multi.Generic
U4fWWHuzf.exe - UDS:DangerousObject.Multi.Generic
1eVI8khid.exe - UDS:DangerousObject.Multi.Generic

双击运行setup.exe

1. Event: Malicious object detected
   
2. Application: instaaleer Setup
   
3. User: DESKTOP-PH3MU9R\Admin
   
4. User type: Active user
   
5. Component: System Watcher
   
6. Result description: Detected
   
7. Type: Trojan
   
8. Name: PDM:Trojan.Win32.Generic
   
9. Threat level: High
   
10. Object type: Process
    
11. Object path: c:\users\admin\desktop\fake_《公理邊緣》正體中文模組
    
12. Object name: setup.exe
    
13. Reason: Databases
    
14. Databases release date: Today, 8/13/2022 9:35:00 AM

复制代码

1. Event: Malicious object detected
   
2. User: DESKTOP-PH3MU9R\Admin
   
3. User type: Active user
   
4. Application name: setup.tmp
   
5. Application path: C:\Users\Admin\AppData\Local\Temp\is-0HFNQ.tmp
   
6. Component: File Anti-Virus
   
7. Result description: Detected
   
8. Type: Trojan
   
9. Name: Trojan-Downloader.Win32.Satacom.kz
   
10. Precision: Exactly
    
11. Threat level: High
    
12. Object type: File
    
13. Object name: helper.dll
    
14. Object path: C:\Users\Admin\AppData\Local\Temp\is-QJQ3V.tmp
    
15. MD5: CE70B8F8AE1580866CBC26695CBA81CC
    
16. Reason: Databases
    
17. Databases release date: Today, 8/13/2022 9:35:00 AM

复制代码

hiduwHUE

kis 提取样本 kill 6 miss Setup.exe ，ksn未知
另一个压缩包，miss txt，kill压缩包解压出来的exe

莫求

有没有大佬分流一下下？