经过完整提取后的高危病毒样本 X1（有更新）

滑稽VMware15

完整提取后的病毒的新链接：https://pan.baidu.com/s/1z00TVA_pRGjPYq-8WW5AXA    提取码：xclu
样本体积较大
来自于B站某PS2022分享视频评论区，内含病毒组件

完整提取后的病毒更值得测试哦～

滑稽VMware15

病毒危险系数很高
火绒不能完全清除，卡巴斯基在试
病毒疑似含有计时器，每五分钟进行一次入侵
有没有大佬下载分析一下？

滑稽VMware15

原来提取的病毒不是主体，这里重发了
iso文件内含病毒
（较靠上的楼层为旧样本，并非新样本）

滑稽VMware15

新样本最新报告


沙箱运行结果
https://www.hybrid-analysis.com/ ... 024b27a1844bb519c78

https://analyze.intezer.com/anal ... -9f7a-66de068ce961/

https://s.threatbook.com/report/file/2f345c7c9ee6be592f532764cd064dcfcdf464f8c8100024b27a1844bb519c78


可疑行为汇总

• 外部系统
  
  • CrowdStrike静态分析和相对高置信度ML检测到的样本详情CrowdStrike静态分析和ML（QuickScan）产生了检测：win/malicious_confidence_100%（W）来源外部系统相关性10/10
  • 大量防病毒引擎将样本识别为恶意详情43/70 防病毒供应商将样本标记为恶意（检测率为61%）来源外部系统相关性10/10
  • 样本被值得信赖的防病毒引擎确定为恶意详情没有具体的详细信息来源外部系统相关性10/10
    
• 系统安全
  
  • 执行请求绕过执行策略的Powershell详情Process "powershell.exe" with commandline "powershell -windo 1 -noexit -exec bypass "Function a{Stop-Process -Name "AdminService" -Force;Stop-Process -Name "KillSwitch" -Force;$AnyFile = Get-Content %PUBLIC%\Documents\arc.txt -Raw; $ScriptBlock = [System.Management.Automation.ScriptBlock]::Create($AnyFile); & $ScriptBlock;}IEX a" (Show Process)来源监控目标相关性5/10ATT&CK IDT1059.001（在MITRE ATT&CKTM矩阵中显示技术）
    
  
  

• 反逆工程
  
  • 创建受保护的内存区域（避免内存转储的防调试技巧）详情"virus.exe"正在分配具有PAGE_GUARD访问权限的内存
    "powershell.exe"正在分配具有PAGE_GUARD访问权限的内存来源API调用相关性10/10
    
• 环境意识
  
  • 读取活动电脑名称详情"virus.exe"（路径：“HKLM\SYSTEM\CONTROLSET001\CONTROL\COMPUTERNAME\ACTIVECOMPUTERNAME”；键：“COMPUTERNAME”）
    "powershell.exe"（路径：“HKLM\SYSTEM\CONTROLSET001\CONTROL\COMPUTERNAME\ACTIVECOMPUTERNAME”；键：“COMPUTERNAME”）来源注册表访问权限相关性5/10ATT&CK IDT1012（在MITRE ATT&CKTM矩阵中显示技术）
  • 尝试长时间睡眠（超过两分钟）详情"virus.exe" 睡眠时间为"1566804069"毫秒来源API调用相关性10/10ATT&CK IDT1497.003（在MITRE ATT&CKTM矩阵中显示技术）
    
• 外部系统
  
  • 样本被至少一个防病毒引擎识别为恶意详情43/70 防病毒供应商将样本标记为恶意（检测率为61%）来源外部系统
    
• 一般的
  
  • 使用命令行执行电源壳详情Process "powershell.exe" with commandline "powershell -windo 1 -noexit -exec bypass "Function a{Stop-Process -Name "AdminService" -Force;Stop-Process -Name "KillSwitch" -Force;$AnyFile = Get-Content %PUBLIC%\Documents\arc.txt -Raw; $ScriptBlock = [System.Management.Automation.ScriptBlock]::Create($AnyFile); & $ScriptBlock;}IEX a" (Show Process)来源监控目标相关性5/10ATT&CK IDT1059.001（在MITRE ATT&CKTM矩阵中显示技术）
  • 读取配置文件详情"virus.exe" 读取文件 "%APPDATA%\Microsoft\Windows\Start Menu\desktop.ini"
    "powershell.exe" 读取文件 "%APPDATA%\Microsoft\Windows\Start Menu\Programs\desktop.ini"
    "powershell.exe" 读取文件 "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\desktop.ini"来源API调用相关性4/10
    
• 安装/持久性
  
  • 将数据写入远程进程详情“cmd.exe”向远程进程“%WINDIR%\System32\WindowsPowerShell\v1.0\powershell.exe”写了32个字节（处理程序：140）
    “cmd.exe”为远程进程“%WINDIR%\System32\WindowsPowerShell\v1.0\powershell.exe”写了52个字节（手柄：140）
    “cmd.exe”向远程进程“%WINDIR%\System32\WindowsPowerShell\v1.0\powershell.exe”写了8个字节（手柄：140）来源API调用相关性6/10ATT&CK IDT1055（在MITRE ATT&CKTM矩阵中显示技术）
    
• 间谍软件/信息检索
  
  • 调用通常用于检索当前系统信息的API详情“virus.exe”称为“GetNativeSystemInfo”（UID：00000000-00002568）
    名为“GetNativeSystemInfo”的powershell.exe（UID：00000000-00002096）来源API调用相关性5/10ATT&CK IDT1082（在MITRE ATT&CKTM矩阵中显示技术）
  • 调用通常用于搜索目录文件的API详情"virus.exe"称为"FindFirstFileW" (UID: 00000000-00002568)
    "virus.exe" 叫 "FindNextFileW" (UID: 00000000-00002568)来源API调用相关性5/10ATT&CK IDT1083（在MITRE ATT&CKTM矩阵中显示技术）
    
• 系统安全
  
  • 修改代{过}{滤}理设置详情"virus.exe"（访问类型：“删除”；路径：“HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP”；键：“PROXYBYPASS”）
    "virus.exe"（访问类型：“DELETEVAL”；路径：“HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP”；键：“PROXYBYPASS”）来源注册表访问权限相关性10/10ATT&CK IDT1112（在MITRE ATT&CKTM矩阵中显示技术）
  • 查询敏感的IE安全设置详情"virus.exe"（路径：“HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SECURITY”；密钥：“DISABLESECURITYSETTINGSCHECK”）来源注册表访问权限相关性8/10ATT&CK IDT1012（在MITRE ATT&CKTM矩阵中显示技术）
  • 查询系统关联文件扩展名的显示设置详情"virus.exe"（访问类型：“QUERYVAL”；路径：“HKLM\SOFTWARE\CLASSES\SYSTEMFILEASSOCIATIONS\。EXE"; 键: "ALWAYSSHOWEXT")
    "virus.exe"（访问类型：“QUERYVAL”；路径：“HKLM\SOFTWARE\CLASSES\SYSTEMFILEASSOCIATIONS\。EXE"; 键: "NEVERSHOWEXT")
    "powershell.exe"（访问类型：“QUERYVAL”；路径：“HKLM\SOFTWARE\CLASSES\SYSTEMFILEASSOCIATIONS\”。LNK"; 键: "ALWAYSSHOWEXT")来源注册表访问权限相关性7/10ATT&CK IDT1012（在MITRE ATT&CKTM矩阵中显示技术）
    
• 不寻常的特征
  
  • 安装钩子/补丁正在运行的进程详情"virus.exe"将字节“654c8b1c25e0140000”写入虚拟地址“0xEDCF264E”（模块“CLR.DLL”的一部分）
    "virus.exe"将字节“654c8b1c25e0140000”写入虚拟地址“0xEDCF26ED”（模块“CLR.DLL”的一部分）
    “virus.exe”将字节“654c8b1c25e0140000”写入虚拟地址“0xEDCF29CC”（模块“CLR.DLL”的一部分）
    “virus.exe”将字节“654c8b1c25e0140000”写入虚拟地址“0xEDCF25EB”（模块“CLR.DLL”的一部分）
    “virus.exe”将字节“65488b0425e8140000”写入虚拟地址“0xEDCF2C8B”（模块“CLR.DLL”的一部分）
    "virus.exe"将字节“65488b0425e8140000”写入虚拟地址“0xEDCF2CCB”（模块“CLR.DLL”的一部分）
    “virus.exe”将字节“654c8b1c25e0140000”写入虚拟地址“0xEDCF28CA”（模块“CLR.DLL”的一部分）
    “virus.exe”将字节“654c8b1c25e0140000”写入虚拟地址“0xEDCF26A3”（模块“CLR.DLL”的一部分）
    "virus.exe"将字节“65488b0425e0140000”写入虚拟地址“0xEDCF2B83”（模块“CLR.DLL”的一部分）
    “virus.exe”将字节“65488b0425e0140000”写入虚拟地址“0xEDCF2BA0”（模块“CLR.DLL”的一部分）
    "virus.exe"将字节“65488b0425e0140000”写入虚拟地址“0xEDCF2BC0”（模块“CLR.DLL”的一部分）
    "virus.exe"将字节“65488b0425e8140000”写入虚拟地址“0xEDCF2C1B”（模块“CLR.DLL”的一部分）
    "virus.exe"将字节“65488b0425e8140000”写入虚拟地址“0xEDCF2C5B”（模块“CLR.DLL”的一部分）
    "virus.exe"将字节“5a6962913ea40000”写入虚拟地址“0xEE4BFA70”（模块“CLR.DLL”的一部分）
    "virus.exe"将字节“654c8b1c25e0140000”写入虚拟地址“0xEDCF2533”（模块“CLR.DLL”的一部分）
    “virus.exe”将字节“654c8b1c25e0140000”写入虚拟地址“0xEDCF2570”（模块“CLR.DLL”的一部分）
    “powershell.exe”将字节“654c8b1c2590150000”写入虚拟地址“0xEE0D760D”（模块“MSCORWKS.DLL”的一部分）
    “powershell.exe”将字节“d813c90300000000”写入虚拟地址“0x71D22650”（模块“SYSTEM.DATA.DLL”的一部分）
    "powershell.exe"将字节“65488b042598150000”写入虚拟地址“0xEE0D8C0B”（模块“MSCORWKS.DLL”的一部分）
    “powershell.exe”将字节“65488b042598150000”写入虚拟地址“0xEE0D8C4B”（模块“MSCORWKS.DLL”的一部分）来源钩子检测相关性10/10ATT&CK IDT1056.004（在MITRE ATT&CKTM矩阵中显示技术）
  • 阅读有关受支持语言的信息详情"virus.exe" (Path: "HKLM\SYSTEM\CONTROLSET001\CONTROL\NLS\CUSTOMLOCALE"; 键: "EN-US")
    "virus.exe" (Path: "HKLM\SYSTEM\CONTROLSET001\CONTROL\NLS\EXTENDEDLOCALE"; 键: "EN-US")
    "virus.exe" (Path: "HKLM\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE"; 键: "00000409")
    "cmd.exe" (路径: "HKLM\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE"; 键: "00000409")
    "cmd.exe" (路径: "HKLM\SYSTEM\CONTROLSET001\CONTROL\NLS\EXTENDEDLOCALE"; 键：“EN-US")
    "cmd.exe"（路径：“HKLM\SYSTEM\CONTROLSET001\CONTROL\NLS\CUSTOMLOCALE”；键：“EN-US”）
    "powershell.exe" (Path: "HKLM\SYSTEM\CONTROLSET001\CONTROL\NLS\EXTENDEDLOCALE"; 键: "EN-US")
    "powershell.exe"（路径：“HKLM\SYSTEM\CONTROLSET001\CONTROL\NLS\CUSTOMLOCALE”；键：“EN-US”）
    "powershell.exe" (Path: "HKCU\CONTROL PANEL\INTERNATIONAL"; Key: "SYEARMONTH")来源注册表访问权限相关性3/10ATT&CK IDT1012（在MITRE ATT&CKTM矩阵中显示技术）
  • PE标题中的时间戳非常古老或将来详情2f345c7c9ee6be592f532764cd064dcfcdf464f8c8100024b27a1844bb519c78.bin”索赔计划来自12月13日星期二06:48:53 2067来源静态解析器相关性10/10
    
  
  

• 信息
  25
• 环境意识
  
  • 包含读取软件策略的能力详情"virus.exe"（路径：“HKLM\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SAFER\CODEIDENTIFIERS”；密钥：“TRANSPARENTENABLED”）
    "virus.exe"（路径：“HKLM\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SAFER\CODEIDENTIFIERS”;键：“AUTHENTICODEENABLED”）
    "cmd.exe"（路径：“HKLM\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SAFER\CODEIDENTIFIERS”；键：“透明可变通”）
    "cmd.exe"（路径：“HKLM\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SAFER\CODEIDENTIFIERS”;键：“AUTHENTICODEENABLED”）
    "powershell.exe"（路径：“HKLM\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SAFER\CODEIDENTIFIERS”;键：“TRANSPARENTENABLED”）来源注册表访问权限相关性1/10ATT&CK IDT1082（在MITRE ATT&CKTM矩阵中显示技术）
  • 查询卷信息详情"virus.exe"查询"C:\virus.exe"的卷信息，电话：00000000-00002568-00000046-2784859
    "virus.exe"查询“%WINDIR%\Microsoft.NET\assembly\GAC_MSIL\System.Windows.Forms\v4.0_4.0.0.0__b77a5c561934e089\System.Windows.Forms.dll”的卷信息，位于00000000-00002568-00000046-2951056
    "virus.exe"查询“%WINDIR%\Microsoft.NET\assembly\GAC_MSIL\System.Drawing\v4.0_4.0.0.0__b03f5f7f11d50a3a\System.Drawing.dll”的卷信息，位于00000000-00002568-00000046-3592291
    "virus.exe"查询“%WINDIR%\Microsoft.NET\assembly\GAC_MSIL\System.Drawing\v4.0_4.0.0.0__b03f5f7f11d50a3a\System.Drawing.dll”的卷信息，位于00000000-00002568-00000046-3606671
    "virus.exe"查询“%WINDIR%\Microsoft.NET\assembly\GAC_MSIL\System.Windows.Forms\v4.0_4.0.0.0__b77a5c561934e089\System.Windows.Forms.dll”的卷信息，电话：00000000-00002568-00000046-10928165899480316来源API调用相关性2/10ATT&CK IDT1120（在MITRE ATT&CKTM矩阵中显示技术）
  • 读取加密机GUID详情"powershell.exe"（路径：“HKLM\SOFTWARE\MICROSOFT\CRYPTOGRAPHY”；键：“MACHINEGUID”）来源注册表访问权限相关性10/10ATT&CK IDT1082（在MITRE ATT&CKTM矩阵中显示技术）
  • 读取已安装应用程序的注册表详情"virus.exe" (Path: "HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP PATHS\CMD.EXE")
    "virus.exe" (Path: "HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP PATHS\CMD.EXE")来源注册表访问权限相关性10/10ATT&CK IDT1518（在MITRE ATT&CKTM矩阵中显示技术）
  • 读取Windows安装日期详情"powershell.exe" (Path: "HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION"; 键：“安装”）来源注册表访问权限相关性10/10ATT&CK IDT1012（在MITRE ATT&CKTM矩阵中显示技术）
    
• 一般的
  
  • 包含PDB路径详情F:\工具（样本）\其他\Gift3\ForceAdminPassword ForceAdmin123！！\ForceAdmin密码ForceAdmin123！！\ForceAdmin\obj\Debug\AdminSetup.pdb"来源符号串相关性1/10
  • 创建突变体详情"\Sessions\1\BaseNamedObjects\Local\ZonesCacheCounterMutex"
    "\Sessions\1\BaseNamedObjects\Local\ZonesLockedCacheCounterMutex"
    "本地\ZonesCacheCounterMutex"
    "本地\ZonesLockedCacheCounterMutex"
    "_SHuassist.mtx"来源创建突变体相关性3/10
  • 找到与API相关的字符串详情“DelegateExecute”（指示器：“DelegateExecute”）
    ThemeApiConnectionRequest（指标：“ThemeApiConnectionRequest”）来源符号串相关性1/10
  • 加载。NET运行时环境详情"virus.exe"在EC6F0000上加载模块“%WINDIR%\assembly\NativeImages_v4.0.30319_64\mscorlib\fe2524177eb3088c77be666722039f52\mscorlib.ni.dll”
    "powershell.exe"在ECF40000上加载模块“%WINDIR%\assembly\NativeImages_v2.0.50727_64\mscorlib\0478aed7fc25ae268474c704fd2a3e0f\mscorlib.ni.dll”来源加载模块
  • 注册表中触及的唯一CLSID概述详情"virus.exe" 触摸了 "计算机" (路径: "HKCU\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\SHELLFOLDER")
    "virus.exe" touched "Memory Mapped Cache Mgr" (Path: "HKLM\SOFTWARE\CLASSES\CLSID\{1F486A52-3CB1-48FD-8F50-B8DC300D9F9D}\TREATAS")
    "virus.exe" 触摸了 "安全管理器" (路径: "HKCU\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}")
    "powershell.exe" touched "NDP SymBinder" (Path: "HKLM\SOFTWARE\CLASSES\CLSID\{0A29FF9E-7F9C-4437-8B11-F424491E3931}\SERVER")
    "powershell.exe"触摸了"自定义目的地列表"（路径：“HKLM\SOFTWARE\CLASSES\CLSID\{77F10CF0-3DB5-4966-B520-B7C54FD35ED6}\TREATAS”）
    "powershell.exe"触摸了"开始菜单缓存"（路径：“HKCU\CLSID\{660B90C8-73A9-4B58-8CAE-355B7F55341B}”）
    "powershell.exe"触摸了"任务带引脚"（路径：“HKCU\CLSID\{90AA3A4E-1CBA-4233-B8BB-535773D48449}\PROGID”）
    "powershell.exe"触摸了"开始菜单引脚"（路径：“HKLM\SOFTWARE\CLASSES\CLSID\{A2A9545D-A0C2-42B4-9708-A0B2BADD77C8}\TREATAS”）
    "powershell.exe" touched "Shortcut" (Path: "HKLM\SOFTWARE\CLASSES\CLSID\{00021401-0000-0000-C000-000000000046}\IMPLEMENTED CATEGORIES\{00021490-0000-0000-C000-000000000046}")
    "powershell.exe" touched "Internet Shortcut" (Path: "HKLM\SOFTWARE\CLASSES\CLSID\{FBF23B40-E3F0-101B-8488-00AA003E56F8}\IMPLEMENTED CATEGORIES\{00021490-0000-0000-C000-000000000046}")
    "powershell.exe"触摸了"用户固定"（路径：“HKLM\SOFTWARE\CLASSES\CLSID\{1F3427C8-5C10-4210-AA03-2EE45287D668}\TREATAS”）
    "powershell.exe" touched "User Assist" (Path: "HKLM\SOFTWARE\CLASSES\CLSID\{DD313E04-FEFF-11D1-8ECD-0000F87A470C}\TREATAS")
    "powershell.exe" touched "Shared Task Scheduler" (Path: "HKCU\CLSID\{603D3801-BD81-11D0-A3A5-00C04FD706EC}\INPROCSERVER32")
    "powershell.exe" touched "Shell File System Folder" (Path: "HKLM\SOFTWARE\CLASSES\CLSID\{F3364BA0-65B9-11CE-A9BA-00AA004AE837}\TREATAS")
    "powershell.exe"触摸了"可以枚举的IUnknown对象集合"（路径：“HKCU\CLSID\{2D3468C1-36A7-43B6-AC24-D3F02FD9607A}\INPROCHANDLER32”）来源注册表访问权限相关性3/10
  • PE文件包含可执行部分详情2f345c7c9ee6be592f532764cd064dcfcdf464f8c8100024b27a1844bb519c78.bin”有一个名为“.text”的可执行部分来源静态解析器相关性1/10
  • PE文件入口点说明详情"2f345c7c9ee6be592f532764cd064dcfcdf464f8c8100024b27a1844bb519c78.bin"文件有一个入口点说明-“jmpdword ptr [0x402000],addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax来源静态解析器相关性1/10
  • 流程随着环境的变化而启动详情进程“powershell.exe”（显示进程）使用新的环境变量启动：“PROMPT="$P$G"”来源监控目标相关性10/10
  • 运行shell命令详情"cmd /c powershell -windo 1 -noexit -exec bypass "Function a{Stop-Process -Name "AdminService" -Force;Stop-Process -Name "KillSwitch" -Force;$AnyFile = Get-Content %PUBLIC%\Documents\arc.txt -Raw; $ScriptBlock = [System.Management.Automation.ScriptBlock]::Create($AnyFile); & $ScriptBlock;}IEX a""来源监控目标相关性5/10ATT&CK IDT1059.003（在MITRE ATT&CKTM矩阵中显示技术）
  • 催生新流程详情带有命令行“cmd /c powershell -windo 1 -noexit -exec旁路“函数a{Stop...”的生成进程“cmd.exe”（显示进程），生成进程“powershell.exe”，命令行为“powershell -windo 1 -noexit -exec旁路”“函数a{Stop-Proce...”（显示流程）来源监控目标相关性3/10
  • 产生未知子进程的新进程详情带有命令行“cmd /c powershell -windo 1 -noexit -exec旁路“函数a{Stop...”的生成进程“cmd.exe”（显示进程），生成进程“powershell.exe”，命令行为“powershell -windo 1 -noexit -exec旁路”“函数a{Stop-Proce...”（显示流程）来源监控目标相关性3/10
    
• 安装/持久性
  
  • 连接到LPC端口详情"virus.exe" 连接到 "\ThemeApiPort"来源API调用相关性1/10
  • 文件掉落详情"57ICAXQBM9927CHXKNN9.temp"有类型为“数据”-位置：[%APPDATA%\Microsoft\Windows\Recent\CustomDestinations\57ICAXQBM9927CHXKNN9.temp]- [targetUID: 00000000-00002096]来源提取的文件相关性3/10
  • 触摸Windows目录中的文件详情"virus.exe" touched file "C:\Windows\Microsoft.NET\Framework64\v2.0.50727\clr.dll"
    "virus.exe" touched file "%LOCALAPPDATA%\Microsoft\Windows\Caches"
    "virus.exe" touched file "%LOCALAPPDATA%\Microsoft\Windows\Caches"
    "cmd.exe" touched file "C:\Windows\AppPatch\AppPatch64\sysmain.sdb"
    "powershell.exe" touched file "C:\Windows\assembly\GAC_MSIL\System.Management.Automation\1.0.0.0__31bf3856ad364e35\System.Management.Automation.pdb"
    "powershell.exe" touched file "C:\Windows\System.Management.Automation.pdb"
    "powershell.exe" touched file "C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations"
    "powershell.exe" touched file "C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\57ICAXQBM9927CHXKNN9.temp"
    "powershell.exe" touched file "C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\590aee7bdd69b59b.customDestinations-ms"
    "powershell.exe"触摸文件 "C:\Windows\Microsoft.NET\Framework64\v2.0.50727\clr.dll"
    "powershell.exe"触摸文件 "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe.config"
    "powershell.exe"触摸文件 "C:\Windows\Microsoft.NET\Framework64\v2.0.50727\config\security.config"
    "powershell.exe"触摸文件 "C:\Windows\Microsoft.NET\Framework64\v2.0.50727\config\security.config.cch"
    "powershell.exe"触摸文件 "C:\Windows\Microsoft.NET\Framework64\v2.0.50727\config\enterprisesec.config"
    "powershell.exe"触摸文件 "C:\Windows\Microsoft.NET\Framework64\v2.0.50727\config\enterprisesec.config.cch"
    "powershell.exe" touched file "%LOCALAPPDATA%\Microsoft\Windows\Caches"
    "powershell.exe" touched file "%APPDATA%\Microsoft\Windows\Recent\CustomDestinations"
    "powershell.exe" touched file "%APPDATA%\Microsoft\Windows\Recent\CustomDestinations\57ICAXQBM9927CHXKNN9.temp"来源API调用相关性7/10
    
• 间谍软件/信息检索
  
  • 触摸程序文件目录中的文件详情"powershell.exe" 尝试触摸文件 "%PROGRAMFILES%\(x86)\AutoIt3\AutoItX\ACTIVEX\VBSCRIPT"来源API调用相关性3/10ATT&CK IDT1083（在MITRE ATT&CKTM矩阵中显示技术）
    
• 系统破坏
  
  • 打开具有删除访问权限的文件详情"powershell.exe" 打开“%APPDATA%\Microsoft\Windows\Recent\CustomDestinations\57ICAXQBM9927CHXKNN9.temp”并具有删除访问权限
    "powershell.exe" 打开“%WINDIR%\assembly\NativeImages_v2.0.50727_64\System.Data\2276c85b65e1f517da1b9026640e2a55\System.Data.ni.dll”
    "powershell.exe" 打开“%WINDIR%\Microsoft.NET\Framework64\v2.0.50727\CONFIG\SECURITY.CONFIG.CCH.2096.1051421”并具有删除访问权限
    "powershell.exe" 打开“%WINDIR%\Microsoft.NET\Framework64\v2.0.50727\CONFIG\ENTERPRISESEC.CONFIG.CCH.2096.1051437”并具有删除权限
    "powershell.exe" 打开“%APPDATA%\Microsoft\CLR SECURITY CONFIG\V2.0.50727.312\64BIT\SECURITY.CONFIG.CCH.2096.1051437”并具有删除访问权限来源API调用相关性7/10ATT&CK IDT1070.004（在MITRE ATT&CKTM矩阵中显示技术）
    
• 系统安全
  
  • 调用通常用于启用或禁用指定访问令牌中的特权的API详情称为“AdjustTokenPrivileges”的powershell.exe（UID：00000000-00002096）来源API调用相关性5/10ATT&CK IDT1134（在MITRE ATT&CKTM矩阵中显示技术）
  • 打开Windows的内核安全设备驱动程序（KsecDD）详情"virus.exe" 打开 "\Device\KsecDD"来源API调用相关性10/10
    
• 不寻常的特征
  
  • 将文件放入应用程序数据目录中详情删除文件：“57ICAXQBM9927CHXKNN9.temp”-位置：[%APPDATA%\Microsoft\Windows\Recent\CustomDestinations\57ICAXQBM9927CHXKNN9.temp]- [targetUID：00000000-00002096]来源提取的文件相关性5/10
  • 匹配的编译器/包装器签名详情2f345c7c9ee6be592f532764cd064dcfcdf464f8c8100024b27a1844bb519c78.bin”被检测为“微软视觉C# v7.0 / Basic。NET"来源静态解析器相关性10/10ATT&CK IDT1027.002（在MITRE ATT&CKTM矩阵中显示技术）
    
  
  

123456aaaafsdeg

火绒的毒名是啥

hipoxiaxxx

分流 https://we.tl/t-tvH6WjXPNd

江民 Trojan.Donut.cel

tomochan

心醉咖啡

123456aaaafsdeg 发表于 2022-10-4 21:31
火绒的毒名是啥

如图所示

滑稽VMware15

123456aaaafsdeg 发表于 2022-10-4 21:31
火绒的毒名是啥

楼上的截图有

斩风123

KES

滑稽VMware15

斩风123 发表于 2022-10-4 22:00
KES

奇怪了，微步云说卡巴斯基未检出

斩风123

滑稽VMware15 发表于 2022-10-4 22:06
奇怪了，微步云说卡巴斯基未检出

可能你们扫过后自动上传样本分析后拉黑了