后门远控x1

显示全部楼层 · 发表于 2023-2-19 00:26:36

凌晨了，各位都睡了吧，来一个10分钟前更新的样本吧。VT：6/71, 这个系列一直是针对中文用户的非语言包。

https://www.virustotal.com/gui/file/9691ef8a8fcb9d2ebfc23d952cc4e0e602913679a21eaa33edb5a64456ba8cb5?nocache=1

复制代码

显示全部楼层 · 发表于 2023-2-19 00:32:33

本帖最后由秋日之殇于 2023-2-19 01:09 编辑

执行后自退了，没有发现网络连接欸。
---------------------------------------------------------

安装tg后执行会在public目录下下载一个压缩包，有点慢后面卡巴拦截了一个一个域名后进程就自退了（点击继续了）
事件: 检测到无效证书 SSL 连接
用户类型: 未定义
应用程序名称: GuardingProcess.exe
应用程序路径: C:\Users\Public\Application
组件: 安全浏览
结果说明: 已阻止
对象名称: pastebin.com
原因: 此证书或证书链建立在不受信任的根目录上。

显示全部楼层 · 发表于 2023-2-19 00:44:18

秋日之殇发表于 2023-2-19 00:32
执行后自退了，没有发现网络连接欸。

会不会是运行进程里没有TG，这个频道放出来的东西每次都是马。

显示全部楼层 · 发表于 2023-2-19 00:45:18

ESET 扫描missed，LiveGuard杀。

显示全部楼层 · 发表于 2023-2-19 00:46:07

avast 过cc

显示全部楼层 · 发表于 2023-2-19 00:50:57

kyuno1 发表于 2023-2-19 00:44
会不会是运行进程里没有TG，这个频道放出来的东西每次都是马。

确实得有tg 看到了个在样本包看见的程序

显示全部楼层 · 发表于 2023-2-19 01:16:55

MD：Trojan:Win32/Ulthar.A!ml

显示全部楼层 · 发表于 2023-2-19 02:24:03

本帖最后由 aboringman 于 2023-2-19 16:59 编辑

360：0

必须在TG处于运行的情况下这货才会行动，狡猾。。。。。。

时间操作说明次数
2023-02-19 02:25:46 [已阻止] DCOMCallback 防护 1 次
详细描述：
进程：C:\Users\Public\Application\GuardingProcess.exe
动作：DCOM调用
路径：C:\Users\Public\Application\GuardingProcess.exe
风险文件：C:\Users\Public\Application\PBVM90.dll
防护信息: AD|0, 10016|30, 30, 10||

复制代码

手动进入网购模式后发现异常

PS.不幸的是，上面那个非网购模式的拦截仅仅只是阻止他添加计划任务，但是还是成功跑起来了（悲）

Avast：0

这是我第一次见CC保持封锁而不是自动放行的（泪目）。。。。。。

到这里你有两个选择，一种是无论如何都要放行，另一种是隔离他，然而放行的结果是悲剧

诺顿回归首战

放行后还有最后一次拯救自己的机会

再放行，就寄了

显示全部楼层 · 发表于 2023-2-19 02:51:12

aboringman 发表于 2023-2-19 02:24
360：0

cc会不会是上面那个上报了或者执行触发上报了。他测的那会还没锁

显示全部楼层 · 发表于 2023-2-19 02:52:21

kyuno1 发表于 2023-2-19 02:51
cc会不会是上面那个上报了或者执行触发上报了。

文件确实被自动上传，但是不知道为什么这次是保持封锁。（摊手）

[病毒样本] 后门远控x1

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分