#Remcos

wwwab

biue

swizzer

Kaspersky - UDS:Backdoor.MSIL.Remcos.gen
WiseVector - Heur.ML.PE.C
BEST - Gen:Suspicious.Cloud.1.em0@ainWsge

After overlay:

Kaspersky - VHO:Trojan-Downloader.MSIL.Seraph.gen
WiseVector - Heur.ML.PE.C
BEST - ATC.SuspiciousBehavior.5735C3227066057D


我记得之前不是有人说BD的云报法有一定的抗修改Hash能力吗...怎么感觉并不真实呢

anthonyqian

swizzer 发表于 2023-8-9 11:26
Kaspersky - UDS:Backdoor.MSIL.Remcos.gen
WiseVector - Heur.ML.PE.C
BEST - Gen:Suspicious.Cloud.1.e ...

关注一下Gen:Suspicious.Cloud.4，可能可以检出。之前看到有一批emotet被统一检测为Gen:Suspicious.Cloud.4 后面的编码也一样

aboringman

首先是没有意义的（



Then







最后受不了报错自退了（

1. 2023-08-09 12:55:44        [自动阻止]          进程创建        防护 7 次
   
2. 详细描述：
   
3. 进程：C:\Users\Killer\Desktop\支付宝 - 支付宝_付款副本_Pdf.exe
   
4. 动作：进程创建
   
5. 路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe
   
6. 防护信息: AD|20, 10001|50, -1, -1||
   
7. 
   
8. 2023-08-09 12:55:44        [已阻止]          远程线程注入        防护 1 次
   
9. 详细描述：
   
10. 进程：C:\Users\Killer\Desktop\支付宝 - 支付宝_付款副本_Pdf.exe
    
11. 动作：远程线程注入
    
12. 路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe
    
13. 风险文件：C:\Users\Killer\Desktop\支付宝 - 支付宝_付款副本_Pdf.exe
    
14. 全部阻止
    
15. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
    
16. 
    
17. 防护信息: AD|2, 88|50, 50, -1||
    
18. 
    
19. 2023-08-09 12:55:40        [已阻止]          远程线程注入        防护 1 次
    
20. 详细描述：
    
21. 进程：C:\Users\Killer\Desktop\支付宝 - 支付宝_付款副本_Pdf.exe
    
22. 动作：远程线程注入
    
23. 路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe
    
24. 风险文件：C:\Users\Killer\Desktop\支付宝 - 支付宝_付款副本_Pdf.exe
    
25. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
    
26. 
    
27. 防护信息: AD|2, 88|50, 50, -1||
    
28. 
    
29. 2023-08-09 12:55:33        [已阻止]          修改 系统启动目录        防护 1 次
    
30. 详细描述：
    
31. 进程：C:\Users\Killer\Desktop\支付宝 - 支付宝_付款副本_Pdf.exe
    
32. 动作：试图修改
    
33. 路径：C:\Users\Killer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\win_defender23.vbs
    
34. 防护信息: FD|26, 823|50, 50, -1|0F437A25B3EABA231567CC145741FC26|6e46160534d6142cd0d721935bb1964e7c55b216|
    
35. 
    
36. 2023-08-09 12:54:22        [已允许]          修改 桌面可执行程序        防护 1 次
    
37. 详细描述：
    
38. 进程：C:\Program Files\Bandizip\Bandizip.exe
    
39. 动作：修改
    
40. 路径：C:\USERS\KILLER\DESKTOP\支付宝 - 支付宝_付款副本_PDF.EXE
    
41. 防护信息: FD|7, 361|10, 10, 50|0F437A25B3EABA231567CC145741FC26|6e46160534d6142cd0d721935bb1964e7c55b216|

复制代码

神龟Turmi

S1 KILL（云信誉）

熊小度

微步云KILL

'malware_type': 'Trojan', 'malware_family': 'SusGeneric', 'sandbox_type_list': ['win7_sp1_enx86_office2013', 'win7_sp1_enx64_office2013', 'win10_1903_enx64_office2016'], 'threat_level': 'suspicious', 'submit_time': '2023-08-09 10:57:39', 'file_name': '支付宝 - 支付宝_付款副本_Pdf.exe'

UNknownOoo

火绒
扫描：MISS

双击：MISS

Yuen

ESET：MSIL/TrojanDownloader.Agent.OXE https://www.virusradar.com/en/threat_encyclopaedia/detail/501598

hansyu

McAfee
ti!757A10975C36