#FakeTG (2023-06-07)

显示全部楼层 · 发表于 2023-6-23 01:40:59

本帖最后由 Hibike 于 2023-6-23 01:53 编辑

https://hibike.cowtransfer.com/s/02cd74d967de4e

发过吗？总觉得好眼熟

卡巴阻止执行衍生物

显示全部楼层 · 发表于 2023-6-23 01:47:20

安装包无反应，释放的衍生物执行后

显示全部楼层 · 发表于 2023-6-23 03:17:56

趋势
扫描miss
安装miss

显示全部楼层 · 发表于 2023-6-23 05:45:55

avast miss

显示全部楼层 · 发表于 2023-6-23 06:27:23

ESET

扫描安装包miss
安装后扫描安装路径 miss
执行桌面快捷方式后报毒如下，要求重启清除，但是每次重启后都会再次报毒并要求重启

时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
2023/6/23 6:19:16;高级内存扫描程序;文件;系统内存 > serviceUpdate.exe(5704);Win32/Farfli.CUO 特洛伊木马的变量;已包含被感染的文件 (下次重新启动后);DESKTOP-4AHUMT3\User;;25C78B833539A1B18C1B39DAB1AC646F6BC4042C;

显示全部楼层 · 发表于 2023-6-23 09:40:38

火绒
扫描&双击：MISS

显示全部楼层 · 发表于 2023-6-23 10:27:35

360miss

显示全部楼层 · 发表于 2023-6-23 12:55:38

金山毒霸扫描miss

显示全部楼层 · 发表于 2023-6-23 18:00:38

有direct syscall动作。。。
S1 双击kill

General
User logged on
MITRE : Persistence [T1078]
MITRE : Defense Evasion [T1078]
MITRE : Privilege Escalation [T1078]
MITRE : Initial Access [T1078]

Direct Syscall
Attempt to evade monitoring by invoking a syscall directly from a known module
MITRE : Defense Evasion [T1562.001]

显示全部楼层 · 发表于 2023-6-23 18:14:47

过MD

[病毒样本] #FakeTG (2023-06-07)

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源