经过完整提取后的高危病毒样本 X1（有更新）

滑稽VMware15

对对对对 发表于 2022-10-5 20:35
有好玩的了

还好吗
你不会想实体机测试吧

对对对对

一定虚拟机啊

滑稽VMware15

新样本最新报告


沙箱运行结果
https://www.hybrid-analysis.com/ ... 024b27a1844bb519c78

https://analyze.intezer.com/anal ... -9f7a-66de068ce961/

https://s.threatbook.com/report/file/2f345c7c9ee6be592f532764cd064dcfcdf464f8c8100024b27a1844bb519c78


可疑行为汇总

• 外部系统
  
  • CrowdStrike静态分析和相对高置信度ML检测到的样本详情CrowdStrike静态分析和ML（QuickScan）产生了检测：win/malicious_confidence_100%（W）来源外部系统相关性10/10
  • 大量防病毒引擎将样本识别为恶意详情43/70 防病毒供应商将样本标记为恶意（检测率为61%）来源外部系统相关性10/10
  • 样本被值得信赖的防病毒引擎确定为恶意详情没有具体的详细信息来源外部系统相关性10/10
    
• 系统安全
  
  • 执行请求绕过执行策略的Powershell详情Process "powershell.exe" with commandline "powershell -windo 1 -noexit -exec bypass "Function a{Stop-Process -Name "AdminService" -Force;Stop-Process -Name "KillSwitch" -Force;$AnyFile = Get-Content %PUBLIC%\Documents\arc.txt -Raw; $ScriptBlock = [System.Management.Automation.ScriptBlock]::Create($AnyFile); & $ScriptBlock;}IEX a" (Show Process)来源监控目标相关性5/10ATT&CK IDT1059.001（在MITRE ATT&CKTM矩阵中显示技术）
    
  
  

• 反逆工程
  
  • 创建受保护的内存区域（避免内存转储的防调试技巧）详情"virus.exe"正在分配具有PAGE_GUARD访问权限的内存
    "powershell.exe"正在分配具有PAGE_GUARD访问权限的内存来源API调用相关性10/10
    
• 环境意识
  
  • 读取活动电脑名称详情"virus.exe"（路径：“HKLM\SYSTEM\CONTROLSET001\CONTROL\COMPUTERNAME\ACTIVECOMPUTERNAME”；键：“COMPUTERNAME”）
    "powershell.exe"（路径：“HKLM\SYSTEM\CONTROLSET001\CONTROL\COMPUTERNAME\ACTIVECOMPUTERNAME”；键：“COMPUTERNAME”）来源注册表访问权限相关性5/10ATT&CK IDT1012（在MITRE ATT&CKTM矩阵中显示技术）
  • 尝试长时间睡眠（超过两分钟）详情"virus.exe" 睡眠时间为"1566804069"毫秒来源API调用相关性10/10ATT&CK IDT1497.003（在MITRE ATT&CKTM矩阵中显示技术）
    
• 外部系统
  
  • 样本被至少一个防病毒引擎识别为恶意详情43/70 防病毒供应商将样本标记为恶意（检测率为61%）来源外部系统
    
• 一般的
  
  • 使用命令行执行电源壳详情Process "powershell.exe" with commandline "powershell -windo 1 -noexit -exec bypass "Function a{Stop-Process -Name "AdminService" -Force;Stop-Process -Name "KillSwitch" -Force;$AnyFile = Get-Content %PUBLIC%\Documents\arc.txt -Raw; $ScriptBlock = [System.Management.Automation.ScriptBlock]::Create($AnyFile); & $ScriptBlock;}IEX a" (Show Process)来源监控目标相关性5/10ATT&CK IDT1059.001（在MITRE ATT&CKTM矩阵中显示技术）
  • 读取配置文件详情"virus.exe" 读取文件 "%APPDATA%\Microsoft\Windows\Start Menu\desktop.ini"
    "powershell.exe" 读取文件 "%APPDATA%\Microsoft\Windows\Start Menu\Programs\desktop.ini"
    "powershell.exe" 读取文件 "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\desktop.ini"来源API调用相关性4/10
    
• 安装/持久性
  
  • 将数据写入远程进程详情“cmd.exe”向远程进程“%WINDIR%\System32\WindowsPowerShell\v1.0\powershell.exe”写了32个字节（处理程序：140）
    “cmd.exe”为远程进程“%WINDIR%\System32\WindowsPowerShell\v1.0\powershell.exe”写了52个字节（手柄：140）
    “cmd.exe”向远程进程“%WINDIR%\System32\WindowsPowerShell\v1.0\powershell.exe”写了8个字节（手柄：140）来源API调用相关性6/10ATT&CK IDT1055（在MITRE ATT&CKTM矩阵中显示技术）
    
• 间谍软件/信息检索
  
  • 调用通常用于检索当前系统信息的API详情“virus.exe”称为“GetNativeSystemInfo”（UID：00000000-00002568）
    名为“GetNativeSystemInfo”的powershell.exe（UID：00000000-00002096）来源API调用相关性5/10ATT&CK IDT1082（在MITRE ATT&CKTM矩阵中显示技术）
  • 调用通常用于搜索目录文件的API详情"virus.exe"称为"FindFirstFileW" (UID: 00000000-00002568)
    "virus.exe" 叫 "FindNextFileW" (UID: 00000000-00002568)来源API调用相关性5/10ATT&CK IDT1083（在MITRE ATT&CKTM矩阵中显示技术）
    
• 系统安全
  
  • 修改代{过}{滤}理设置详情"virus.exe"（访问类型：“删除”；路径：“HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP”；键：“PROXYBYPASS”）
    "virus.exe"（访问类型：“DELETEVAL”；路径：“HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP”；键：“PROXYBYPASS”）来源注册表访问权限相关性10/10ATT&CK IDT1112（在MITRE ATT&CKTM矩阵中显示技术）
  • 查询敏感的IE安全设置详情"virus.exe"（路径：“HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SECURITY”；密钥：“DISABLESECURITYSETTINGSCHECK”）来源注册表访问权限相关性8/10ATT&CK IDT1012（在MITRE ATT&CKTM矩阵中显示技术）
  • 查询系统关联文件扩展名的显示设置详情"virus.exe"（访问类型：“QUERYVAL”；路径：“HKLM\SOFTWARE\CLASSES\SYSTEMFILEASSOCIATIONS\。EXE"; 键: "ALWAYSSHOWEXT")
    "virus.exe"（访问类型：“QUERYVAL”；路径：“HKLM\SOFTWARE\CLASSES\SYSTEMFILEASSOCIATIONS\。EXE"; 键: "NEVERSHOWEXT")
    "powershell.exe"（访问类型：“QUERYVAL”；路径：“HKLM\SOFTWARE\CLASSES\SYSTEMFILEASSOCIATIONS\”。LNK"; 键: "ALWAYSSHOWEXT")来源注册表访问权限相关性7/10ATT&CK IDT1012（在MITRE ATT&CKTM矩阵中显示技术）
    
• 不寻常的特征
  
  • 安装钩子/补丁正在运行的进程详情"virus.exe"将字节“654c8b1c25e0140000”写入虚拟地址“0xEDCF264E”（模块“CLR.DLL”的一部分）
    "virus.exe"将字节“654c8b1c25e0140000”写入虚拟地址“0xEDCF26ED”（模块“CLR.DLL”的一部分）
    “virus.exe”将字节“654c8b1c25e0140000”写入虚拟地址“0xEDCF29CC”（模块“CLR.DLL”的一部分）
    “virus.exe”将字节“654c8b1c25e0140000”写入虚拟地址“0xEDCF25EB”（模块“CLR.DLL”的一部分）
    “virus.exe”将字节“65488b0425e8140000”写入虚拟地址“0xEDCF2C8B”（模块“CLR.DLL”的一部分）
    "virus.exe"将字节“65488b0425e8140000”写入虚拟地址“0xEDCF2CCB”（模块“CLR.DLL”的一部分）
    “virus.exe”将字节“654c8b1c25e0140000”写入虚拟地址“0xEDCF28CA”（模块“CLR.DLL”的一部分）
    “virus.exe”将字节“654c8b1c25e0140000”写入虚拟地址“0xEDCF26A3”（模块“CLR.DLL”的一部分）
    "virus.exe"将字节“65488b0425e0140000”写入虚拟地址“0xEDCF2B83”（模块“CLR.DLL”的一部分）
    “virus.exe”将字节“65488b0425e0140000”写入虚拟地址“0xEDCF2BA0”（模块“CLR.DLL”的一部分）
    "virus.exe"将字节“65488b0425e0140000”写入虚拟地址“0xEDCF2BC0”（模块“CLR.DLL”的一部分）
    "virus.exe"将字节“65488b0425e8140000”写入虚拟地址“0xEDCF2C1B”（模块“CLR.DLL”的一部分）
    "virus.exe"将字节“65488b0425e8140000”写入虚拟地址“0xEDCF2C5B”（模块“CLR.DLL”的一部分）
    "virus.exe"将字节“5a6962913ea40000”写入虚拟地址“0xEE4BFA70”（模块“CLR.DLL”的一部分）
    "virus.exe"将字节“654c8b1c25e0140000”写入虚拟地址“0xEDCF2533”（模块“CLR.DLL”的一部分）
    “virus.exe”将字节“654c8b1c25e0140000”写入虚拟地址“0xEDCF2570”（模块“CLR.DLL”的一部分）
    “powershell.exe”将字节“654c8b1c2590150000”写入虚拟地址“0xEE0D760D”（模块“MSCORWKS.DLL”的一部分）
    “powershell.exe”将字节“d813c90300000000”写入虚拟地址“0x71D22650”（模块“SYSTEM.DATA.DLL”的一部分）
    "powershell.exe"将字节“65488b042598150000”写入虚拟地址“0xEE0D8C0B”（模块“MSCORWKS.DLL”的一部分）
    “powershell.exe”将字节“65488b042598150000”写入虚拟地址“0xEE0D8C4B”（模块“MSCORWKS.DLL”的一部分）来源钩子检测相关性10/10ATT&CK IDT1056.004（在MITRE ATT&CKTM矩阵中显示技术）
  • 阅读有关受支持语言的信息详情"virus.exe" (Path: "HKLM\SYSTEM\CONTROLSET001\CONTROL\NLS\CUSTOMLOCALE"; 键: "EN-US")
    "virus.exe" (Path: "HKLM\SYSTEM\CONTROLSET001\CONTROL\NLS\EXTENDEDLOCALE"; 键: "EN-US")
    "virus.exe" (Path: "HKLM\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE"; 键: "00000409")
    "cmd.exe" (路径: "HKLM\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE"; 键: "00000409")
    "cmd.exe" (路径: "HKLM\SYSTEM\CONTROLSET001\CONTROL\NLS\EXTENDEDLOCALE"; 键：“EN-US")
    "cmd.exe"（路径：“HKLM\SYSTEM\CONTROLSET001\CONTROL\NLS\CUSTOMLOCALE”；键：“EN-US”）
    "powershell.exe" (Path: "HKLM\SYSTEM\CONTROLSET001\CONTROL\NLS\EXTENDEDLOCALE"; 键: "EN-US")
    "powershell.exe"（路径：“HKLM\SYSTEM\CONTROLSET001\CONTROL\NLS\CUSTOMLOCALE”；键：“EN-US”）
    "powershell.exe" (Path: "HKCU\CONTROL PANEL\INTERNATIONAL"; Key: "SYEARMONTH")来源注册表访问权限相关性3/10ATT&CK IDT1012（在MITRE ATT&CKTM矩阵中显示技术）
  • PE标题中的时间戳非常古老或将来详情2f345c7c9ee6be592f532764cd064dcfcdf464f8c8100024b27a1844bb519c78.bin”索赔计划来自12月13日星期二06:48:53 2067来源静态解析器相关性10/10
    
  
  

• 信息
  25
• 环境意识
  
  • 包含读取软件策略的能力详情"virus.exe"（路径：“HKLM\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SAFER\CODEIDENTIFIERS”；密钥：“TRANSPARENTENABLED”）
    "virus.exe"（路径：“HKLM\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SAFER\CODEIDENTIFIERS”;键：“AUTHENTICODEENABLED”）
    "cmd.exe"（路径：“HKLM\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SAFER\CODEIDENTIFIERS”；键：“透明可变通”）
    "cmd.exe"（路径：“HKLM\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SAFER\CODEIDENTIFIERS”;键：“AUTHENTICODEENABLED”）
    "powershell.exe"（路径：“HKLM\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SAFER\CODEIDENTIFIERS”;键：“TRANSPARENTENABLED”）来源注册表访问权限相关性1/10ATT&CK IDT1082（在MITRE ATT&CKTM矩阵中显示技术）
  • 查询卷信息详情"virus.exe"查询"C:\virus.exe"的卷信息，电话：00000000-00002568-00000046-2784859
    "virus.exe"查询“%WINDIR%\Microsoft.NET\assembly\GAC_MSIL\System.Windows.Forms\v4.0_4.0.0.0__b77a5c561934e089\System.Windows.Forms.dll”的卷信息，位于00000000-00002568-00000046-2951056
    "virus.exe"查询“%WINDIR%\Microsoft.NET\assembly\GAC_MSIL\System.Drawing\v4.0_4.0.0.0__b03f5f7f11d50a3a\System.Drawing.dll”的卷信息，位于00000000-00002568-00000046-3592291
    "virus.exe"查询“%WINDIR%\Microsoft.NET\assembly\GAC_MSIL\System.Drawing\v4.0_4.0.0.0__b03f5f7f11d50a3a\System.Drawing.dll”的卷信息，位于00000000-00002568-00000046-3606671
    "virus.exe"查询“%WINDIR%\Microsoft.NET\assembly\GAC_MSIL\System.Windows.Forms\v4.0_4.0.0.0__b77a5c561934e089\System.Windows.Forms.dll”的卷信息，电话：00000000-00002568-00000046-10928165899480316来源API调用相关性2/10ATT&CK IDT1120（在MITRE ATT&CKTM矩阵中显示技术）
  • 读取加密机GUID详情"powershell.exe"（路径：“HKLM\SOFTWARE\MICROSOFT\CRYPTOGRAPHY”；键：“MACHINEGUID”）来源注册表访问权限相关性10/10ATT&CK IDT1082（在MITRE ATT&CKTM矩阵中显示技术）
  • 读取已安装应用程序的注册表详情"virus.exe" (Path: "HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP PATHS\CMD.EXE")
    "virus.exe" (Path: "HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP PATHS\CMD.EXE")来源注册表访问权限相关性10/10ATT&CK IDT1518（在MITRE ATT&CKTM矩阵中显示技术）
  • 读取Windows安装日期详情"powershell.exe" (Path: "HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION"; 键：“安装”）来源注册表访问权限相关性10/10ATT&CK IDT1012（在MITRE ATT&CKTM矩阵中显示技术）
    
• 一般的
  
  • 包含PDB路径详情F:\工具（样本）\其他\Gift3\ForceAdminPassword ForceAdmin123！！\ForceAdmin密码ForceAdmin123！！\ForceAdmin\obj\Debug\AdminSetup.pdb"来源符号串相关性1/10
  • 创建突变体详情"\Sessions\1\BaseNamedObjects\Local\ZonesCacheCounterMutex"
    "\Sessions\1\BaseNamedObjects\Local\ZonesLockedCacheCounterMutex"
    "本地\ZonesCacheCounterMutex"
    "本地\ZonesLockedCacheCounterMutex"
    "_SHuassist.mtx"来源创建突变体相关性3/10
  • 找到与API相关的字符串详情“DelegateExecute”（指示器：“DelegateExecute”）
    ThemeApiConnectionRequest（指标：“ThemeApiConnectionRequest”）来源符号串相关性1/10
  • 加载。NET运行时环境详情"virus.exe"在EC6F0000上加载模块“%WINDIR%\assembly\NativeImages_v4.0.30319_64\mscorlib\fe2524177eb3088c77be666722039f52\mscorlib.ni.dll”
    "powershell.exe"在ECF40000上加载模块“%WINDIR%\assembly\NativeImages_v2.0.50727_64\mscorlib\0478aed7fc25ae268474c704fd2a3e0f\mscorlib.ni.dll”来源加载模块
  • 注册表中触及的唯一CLSID概述详情"virus.exe" 触摸了 "计算机" (路径: "HKCU\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\SHELLFOLDER")
    "virus.exe" touched "Memory Mapped Cache Mgr" (Path: "HKLM\SOFTWARE\CLASSES\CLSID\{1F486A52-3CB1-48FD-8F50-B8DC300D9F9D}\TREATAS")
    "virus.exe" 触摸了 "安全管理器" (路径: "HKCU\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}")
    "powershell.exe" touched "NDP SymBinder" (Path: "HKLM\SOFTWARE\CLASSES\CLSID\{0A29FF9E-7F9C-4437-8B11-F424491E3931}\SERVER")
    "powershell.exe"触摸了"自定义目的地列表"（路径：“HKLM\SOFTWARE\CLASSES\CLSID\{77F10CF0-3DB5-4966-B520-B7C54FD35ED6}\TREATAS”）
    "powershell.exe"触摸了"开始菜单缓存"（路径：“HKCU\CLSID\{660B90C8-73A9-4B58-8CAE-355B7F55341B}”）
    "powershell.exe"触摸了"任务带引脚"（路径：“HKCU\CLSID\{90AA3A4E-1CBA-4233-B8BB-535773D48449}\PROGID”）
    "powershell.exe"触摸了"开始菜单引脚"（路径：“HKLM\SOFTWARE\CLASSES\CLSID\{A2A9545D-A0C2-42B4-9708-A0B2BADD77C8}\TREATAS”）
    "powershell.exe" touched "Shortcut" (Path: "HKLM\SOFTWARE\CLASSES\CLSID\{00021401-0000-0000-C000-000000000046}\IMPLEMENTED CATEGORIES\{00021490-0000-0000-C000-000000000046}")
    "powershell.exe" touched "Internet Shortcut" (Path: "HKLM\SOFTWARE\CLASSES\CLSID\{FBF23B40-E3F0-101B-8488-00AA003E56F8}\IMPLEMENTED CATEGORIES\{00021490-0000-0000-C000-000000000046}")
    "powershell.exe"触摸了"用户固定"（路径：“HKLM\SOFTWARE\CLASSES\CLSID\{1F3427C8-5C10-4210-AA03-2EE45287D668}\TREATAS”）
    "powershell.exe" touched "User Assist" (Path: "HKLM\SOFTWARE\CLASSES\CLSID\{DD313E04-FEFF-11D1-8ECD-0000F87A470C}\TREATAS")
    "powershell.exe" touched "Shared Task Scheduler" (Path: "HKCU\CLSID\{603D3801-BD81-11D0-A3A5-00C04FD706EC}\INPROCSERVER32")
    "powershell.exe" touched "Shell File System Folder" (Path: "HKLM\SOFTWARE\CLASSES\CLSID\{F3364BA0-65B9-11CE-A9BA-00AA004AE837}\TREATAS")
    "powershell.exe"触摸了"可以枚举的IUnknown对象集合"（路径：“HKCU\CLSID\{2D3468C1-36A7-43B6-AC24-D3F02FD9607A}\INPROCHANDLER32”）来源注册表访问权限相关性3/10
  • PE文件包含可执行部分详情2f345c7c9ee6be592f532764cd064dcfcdf464f8c8100024b27a1844bb519c78.bin”有一个名为“.text”的可执行部分来源静态解析器相关性1/10
  • PE文件入口点说明详情"2f345c7c9ee6be592f532764cd064dcfcdf464f8c8100024b27a1844bb519c78.bin"文件有一个入口点说明-“jmpdword ptr [0x402000],addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax], al,addbyte ptr [eax来源静态解析器相关性1/10
  • 流程随着环境的变化而启动详情进程“powershell.exe”（显示进程）使用新的环境变量启动：“PROMPT="$P$G"”来源监控目标相关性10/10
  • 运行shell命令详情"cmd /c powershell -windo 1 -noexit -exec bypass "Function a{Stop-Process -Name "AdminService" -Force;Stop-Process -Name "KillSwitch" -Force;$AnyFile = Get-Content %PUBLIC%\Documents\arc.txt -Raw; $ScriptBlock = [System.Management.Automation.ScriptBlock]::Create($AnyFile); & $ScriptBlock;}IEX a""来源监控目标相关性5/10ATT&CK IDT1059.003（在MITRE ATT&CKTM矩阵中显示技术）
  • 催生新流程详情带有命令行“cmd /c powershell -windo 1 -noexit -exec旁路“函数a{Stop...”的生成进程“cmd.exe”（显示进程），生成进程“powershell.exe”，命令行为“powershell -windo 1 -noexit -exec旁路”“函数a{Stop-Proce...”（显示流程）来源监控目标相关性3/10
  • 产生未知子进程的新进程详情带有命令行“cmd /c powershell -windo 1 -noexit -exec旁路“函数a{Stop...”的生成进程“cmd.exe”（显示进程），生成进程“powershell.exe”，命令行为“powershell -windo 1 -noexit -exec旁路”“函数a{Stop-Proce...”（显示流程）来源监控目标相关性3/10
    
• 安装/持久性
  
  • 连接到LPC端口详情"virus.exe" 连接到 "\ThemeApiPort"来源API调用相关性1/10
  • 文件掉落详情"57ICAXQBM9927CHXKNN9.temp"有类型为“数据”-位置：[%APPDATA%\Microsoft\Windows\Recent\CustomDestinations\57ICAXQBM9927CHXKNN9.temp]- [targetUID: 00000000-00002096]来源提取的文件相关性3/10
  • 触摸Windows目录中的文件详情"virus.exe" touched file "C:\Windows\Microsoft.NET\Framework64\v2.0.50727\clr.dll"
    "virus.exe" touched file "%LOCALAPPDATA%\Microsoft\Windows\Caches"
    "virus.exe" touched file "%LOCALAPPDATA%\Microsoft\Windows\Caches"
    "cmd.exe" touched file "C:\Windows\AppPatch\AppPatch64\sysmain.sdb"
    "powershell.exe" touched file "C:\Windows\assembly\GAC_MSIL\System.Management.Automation\1.0.0.0__31bf3856ad364e35\System.Management.Automation.pdb"
    "powershell.exe" touched file "C:\Windows\System.Management.Automation.pdb"
    "powershell.exe" touched file "C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations"
    "powershell.exe" touched file "C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\57ICAXQBM9927CHXKNN9.temp"
    "powershell.exe" touched file "C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\590aee7bdd69b59b.customDestinations-ms"
    "powershell.exe"触摸文件 "C:\Windows\Microsoft.NET\Framework64\v2.0.50727\clr.dll"
    "powershell.exe"触摸文件 "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe.config"
    "powershell.exe"触摸文件 "C:\Windows\Microsoft.NET\Framework64\v2.0.50727\config\security.config"
    "powershell.exe"触摸文件 "C:\Windows\Microsoft.NET\Framework64\v2.0.50727\config\security.config.cch"
    "powershell.exe"触摸文件 "C:\Windows\Microsoft.NET\Framework64\v2.0.50727\config\enterprisesec.config"
    "powershell.exe"触摸文件 "C:\Windows\Microsoft.NET\Framework64\v2.0.50727\config\enterprisesec.config.cch"
    "powershell.exe" touched file "%LOCALAPPDATA%\Microsoft\Windows\Caches"
    "powershell.exe" touched file "%APPDATA%\Microsoft\Windows\Recent\CustomDestinations"
    "powershell.exe" touched file "%APPDATA%\Microsoft\Windows\Recent\CustomDestinations\57ICAXQBM9927CHXKNN9.temp"来源API调用相关性7/10
    
• 间谍软件/信息检索
  
  • 触摸程序文件目录中的文件详情"powershell.exe" 尝试触摸文件 "%PROGRAMFILES%\(x86)\AutoIt3\AutoItX\ACTIVEX\VBSCRIPT"来源API调用相关性3/10ATT&CK IDT1083（在MITRE ATT&CKTM矩阵中显示技术）
    
• 系统破坏
  
  • 打开具有删除访问权限的文件详情"powershell.exe" 打开“%APPDATA%\Microsoft\Windows\Recent\CustomDestinations\57ICAXQBM9927CHXKNN9.temp”并具有删除访问权限
    "powershell.exe" 打开“%WINDIR%\assembly\NativeImages_v2.0.50727_64\System.Data\2276c85b65e1f517da1b9026640e2a55\System.Data.ni.dll”
    "powershell.exe" 打开“%WINDIR%\Microsoft.NET\Framework64\v2.0.50727\CONFIG\SECURITY.CONFIG.CCH.2096.1051421”并具有删除访问权限
    "powershell.exe" 打开“%WINDIR%\Microsoft.NET\Framework64\v2.0.50727\CONFIG\ENTERPRISESEC.CONFIG.CCH.2096.1051437”并具有删除权限
    "powershell.exe" 打开“%APPDATA%\Microsoft\CLR SECURITY CONFIG\V2.0.50727.312\64BIT\SECURITY.CONFIG.CCH.2096.1051437”并具有删除访问权限来源API调用相关性7/10ATT&CK IDT1070.004（在MITRE ATT&CKTM矩阵中显示技术）
    
• 系统安全
  
  • 调用通常用于启用或禁用指定访问令牌中的特权的API详情称为“AdjustTokenPrivileges”的powershell.exe（UID：00000000-00002096）来源API调用相关性5/10ATT&CK IDT1134（在MITRE ATT&CKTM矩阵中显示技术）
  • 打开Windows的内核安全设备驱动程序（KsecDD）详情"virus.exe" 打开 "\Device\KsecDD"来源API调用相关性10/10
    
• 不寻常的特征
  
  • 将文件放入应用程序数据目录中详情删除文件：“57ICAXQBM9927CHXKNN9.temp”-位置：[%APPDATA%\Microsoft\Windows\Recent\CustomDestinations\57ICAXQBM9927CHXKNN9.temp]- [targetUID：00000000-00002096]来源提取的文件相关性5/10
  • 匹配的编译器/包装器签名详情2f345c7c9ee6be592f532764cd064dcfcdf464f8c8100024b27a1844bb519c78.bin”被检测为“微软视觉C# v7.0 / Basic。NET"来源静态解析器相关性10/10ATT&CK IDT1027.002（在MITRE ATT&CKTM矩阵中显示技术）
    
  
  

你开心就好

滑稽VMware15 发表于 2022-10-6 07:22
新样本最新报告

专业的样本分析人员 基本不看这些自动沙箱信息  一是太凌乱 二是基本没有什么用
除非用户说 有什么行为 但是分析人员在本地虚拟机上死活复现不出来 才考虑一下自动云沙箱
还有一种情况就是 相关威胁情报关联的时候才用一下

滑稽VMware15

你开心就好 发表于 2022-10-6 08:22
专业的样本分析人员 基本不看这些自动沙箱信息  一是太凌乱 二是基本没有什么用
除非用户说 有什么行为  ...

我主要是要看生成了什么文件，准备把病毒生成的都删了
至少说有基本的信息

对对对对

建议楼主把那个autorun.exe单发一下，百度把我限速了，下了一晚上，百分之63。。。。

滑稽VMware15

对对对对 发表于 2022-10-6 08:53
建议楼主把那个autorun.exe单发一下，百度把我限速了，下了一晚上，百分之63。。。。

不是有P2P加速吗？
autorun也不是病毒本体，而是分布在镜像里的部分组件
没关系，继续下载吧

UNknownOoo

2f345c7c9ee6be592f532764cd064dcfcdf464f8c8100024b27a1844bb519c78

智量
扫描：miss
双击：WIBD:HEUR.MalPowershell.B

对对对对

360杀了它的主程序(autopaly)
主程序运行后，过一会直接自动关机，似乎没有啥有害行为(ke neng bei lan jie le)，除了干掉了我的输入法。。。

滑稽VMware15

对对对对 发表于 2022-10-6 11:06
360杀了它的主程序(autopaly)
主程序运行后，过一会直接自动关机，似乎没有啥有害行为(ke neng bei lan ji ...

有没有兴趣虚拟机没杀毒软件测试