8x Malware

显示全部楼层 · 发表于 2023-7-4 20:03:39

https://hibike.cowtransfer.com/s/e3f46b6132f847

显示全部楼层 · 发表于 2023-7-4 20:09:57

火绒
扫描：拉黑 3X；特征 2X

显示全部楼层 · 发表于 2023-7-4 20:25:25

ESET 扫描+双击检测衍生物

6/8

80a50f06ee7cef2ccddc6b628fde14d17895a61b1b95974120389ac036226db1~\2023专题活动策划方案\__MACOSX\.__MACOS__\.__MACOS__\output.bmp;PowerShell/Rozena.BF 80a50f06ee7cef2ccddc6b628fde14d17895a61b1b95974120389ac036226db1~\2023专题活动策划方案\__MACOSX\.__MACOS__\.__MACOS__\sqlite3.dll;Win32/Injector.ERXE
9e170ddd.exe;Win32/TrojanDownloader.Agent.HAL
f9daeae8.exe;Win64/GenKryptik.GKCC
9b899e63c07f91f78b6b8d068ac9fcb0718481fcf6a7245add2b6f5167e17246~\孙继超-北京大学-硕士\孙继超-北京大学-硕士\__MACOSX\.DOCX\mbp.tmp;WinGo/Rozena.PA
6898d56df21ecf489eb1096958d199b9bed9ced1f78abc8f6750757879a4292b~\北京市交通委年终总结报告-模版1\__MACOSX\.DOCX\mbp.tmp;WinGo/Rozena.PA
C:\Users\苏敬轩\Documents\Source.c;Win64/Agent.COG

复制代码

显示全部楼层 · 发表于 2023-7-4 20:46:09

本帖最后由 anxiety520 于 2023-7-4 20:49 编辑

KIS 余6241c951.exe f7e297c0.exe 双击无法运行

显示全部楼层 · 发表于 2023-7-4 21:05:00

显示全部楼层 · 发表于 2023-7-4 21:07:46

金山毒霸

显示全部楼层 · 发表于 2023-7-4 21:47:19

本帖最后由 asnjj 于 2023-7-4 21:54 编辑

ESET ESSP 不确定算6/8还是4/8

首先解压先杀以下

2023/7/4 21:15:53;文件系统实时防护;文件;C:\Users\User\Downloads\kyouko\kyouko\80a50f06ee7cef2ccddc6b628fde14d17895a61b1b95974120389ac036226db1~\2023专题活动策划方案\__MACOSX\.__MACOS__\.__MACOS__\output.bmp;PowerShell/Rozena.BF 特洛伊木马;已通过删除清除;
2023/7/4 21:15:55;文件系统实时防护;文件;C:\Users\User\Downloads\kyouko\kyouko\6898d56df21ecf489eb1096958d199b9bed9ced1f78abc8f6750757879a4292b~\北京市交通委年终总结报告-模版1\__MACOSX\.DOCX\mbp.tmp;WinGo/Rozena.PA 特洛伊木马的变量;已通过删除清除;
2023/7/4 21:15:55;文件系统实时防护;文件;C:\Users\User\Downloads\kyouko\kyouko\9b899e63c07f91f78b6b8d068ac9fcb0718481fcf6a7245add2b6f5167e17246~\孙继超-北京大学-硕士\孙继超-北京大学-硕士\__MACOSX\.DOCX\mbp.tmp;WinGo/Rozena.PA 特洛伊木马的变量;已通过删除清除;
2023/7/4 21:15:56;文件系统实时防护;文件;C:\Users\User\Downloads\kyouko\kyouko\80a50f06ee7cef2ccddc6b628fde14d17895a61b1b95974120389ac036226db1~\2023专题活动策划方案\__MACOSX\.__MACOS__\.__MACOS__\sqlite3.dll;Win32/Injector.ERXE 特洛伊木马的变量;已通过删除清除;
2023/7/4 21:15:56;文件系统实时防护;文件;C:\Users\User\Downloads\kyouko\kyouko\9e170ddd.exe;Win32/TrojanDownloader.Agent.HAL 特洛伊木马的变量;已通过删除清除;
2023/7/4 21:15:57;文件系统实时防护;文件;C:\Users\User\Downloads\kyouko\kyouko\f9daeae8.exe;Win64/GenKryptik.GKCC 特洛伊木马的变量;已通过删除清除;

复制代码

检查发现“孙继超-北京大学-硕士”和“北京市交通委年终总结报告-模版1”文件夹里仍存有可疑文件，双击对应快捷方式运行miss但弹出错误框，不确定恶意操作是否有执行。

7d40fc84.exe
这个东西解压后不一定会杀，手动扫描会杀；如果不手动扫描且文件监控没有杀的话，双击会杀衍生物。
反复测试了几遍，一开始没有触发ELG，后来有一次突然触发了ELG，分析后ELG杀。关闭ELG的情况下双击杀衍生物

2023/7/4 21:24:27;文件系统实时防护;文件;C:\Users\User\Downloads\kyouko\kyouko\7d40fc84.exe;Suspicious Object;已通过删除清除;DESKTOP-4AHUMT3\User;尝试通过应用程序访问文件时发生事件: C:\Windows\System32\svchost.exe

复制代码

f7e297c0.exe
触发ELG上传但分析结果为安全，miss；关闭ELG后双击miss

6241c951.exe
miss，未触发ELG上传

难道ELG真的就只是“纯粹地在沙盒里运行样本，然后如果检测到衍生物有毒就报毒否则就报安全”？？？

显示全部楼层 · 发表于 2023-7-4 22:28:55

McAfee 扫描 4x

显示全部楼层 · 发表于 2023-7-4 22:30:18

FS、EMSi

显示全部楼层 · 发表于 2023-7-4 23:14:32

360kill 6

[病毒样本] 8x Malware

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源