#Farfli (2023-04-12)

显示全部楼层 · 发表于 2023-6-11 19:44:28

本帖最后由 761773275 于 2023-6-11 19:45 编辑

BEST
安装完就干了，整个程序安装被彻底回滚

复制代码

高级威胁防护已开始对恶意进程执行清除操作。进程路径: C:\Users\Public\Documents\NGLA\xyz.exe. 威胁名称: ATC.SuspiciousBehavior.9FBBD7375D1C8ABD.

复制代码

显示全部楼层 · 发表于 2023-6-11 19:47:46

swizzer 发表于 2023-6-11 19:27
这个文件大小并没有超出VT限制

样本的大小限制了我上传的耐心

显示全部楼层 · 发表于 2023-6-11 19:51:13

Eset小粉絲发表于 2023-6-11 19:47
样本的大小限制了我上传的耐心

我这校园网传了10分钟才传上去

显示全部楼层 · 发表于 2023-6-11 19:58:11

swizzer 发表于 2023-6-11 19:33
虽然杀的不对，但是姑且也算是能阻断样本发作了

https://huorong.cn/safe/16793709921000.html

那个my7z.exe是病毒自己写好的7z加密压缩包解压组件并且里面自带病毒衍生物的解压密码病毒直接调用，不是7z官方的组件，进程命令行并看不到解压密码

理论上应该也没不算杀错，也算是一个病毒相关文件的特征点

显示全部楼层 · 发表于 2023-6-11 20:03:34

火绒扫描miss

显示全部楼层 · 发表于 2023-6-11 20:03:38

本帖最后由 swizzer 于 2023-6-11 20:04 编辑

wwwab 发表于 2023-6-11 19:58
https://huorong.cn/safe/16793709921000.html

那个my7z.exe是病毒自己写好的7z加密压缩包解压组件并 ...

相对而言而已。我个人是觉得杀一个魔改的7z不怎么靠谱。

显示全部楼层 · 发表于 2023-6-11 21:01:49

2849 发表于 2023-6-11 18:55
风险路径：C:%users\Administrator\Downloads\Farfli\看图源2.0_最新版：.exe >> 看图源 >> my7z.exe,
病 ...

火绒吗？

显示全部楼层 · 发表于 2023-6-11 21:02:17

本帖最后由 AEht 于 2023-6-11 21:13 编辑

卡巴动态miss没上报

显示全部楼层 · 发表于 2023-6-11 21:05:00

EMSi、FS 扫描Miss

显示全部楼层 · 发表于 2023-6-11 21:07:59

AEht 发表于 2023-6-11 21:01
火绒吗？

对

[病毒样本] #Farfli (2023-04-12)