#IcedID（8.10）

GreatMOLA

lenovo2019用户 发表于 2023-8-10 10:52
VT上卡巴还没反应

PDM阻止启动，报法为PDM:Trojan.Win32.Bazon.a

swizzer

GreatMOLA 发表于 2023-8-10 10:53
PDM阻止启动，报法为PDM:Trojan.Win32.Bazon.a

我在你的回复后每5min测试一次，均未见KSN响应。
目前依然可以成功加载，见截图。

GreatMOLA

swizzer 发表于 2023-8-10 11:28
我在你的回复后每5min测试一次，均未见KSN响应。
目前依然可以成功加载，见截图。

抱歉，可能是我的说辞有些疏漏。我的意思是，ps1文件已经被拉黑，dll文件确实可以加载。

事件: 进程已终止
应用程序: Windows PowerShell
用户: TEST-VMPC-0803\User
用户类型: 发起者
组件: 系统监控
结果说明: 已终止
类型: 木马
名称: PDM:Trojan.Win32.Bazon.a
威胁级别: 高
对象类型: 进程
对象路径: C:\Windows\System32\WindowsPowerShell\v1.0
对象名称: powershell.exe
MD5: 9FE63369454FB389D883F08BAD486CF3

biue

wwwab

swizzer 发表于 2023-8-10 11:28
我在你的回复后每5min测试一次，均未见KSN响应。
目前依然可以成功加载，见截图。

换了个分析师过来救场了

Hello,

New malicious software was found in the attached file. Its detection will be included in the next update.
Trojan.Win64.Packed.oo
Thank you for your help.

Eset小粉絲

wwwab 发表于 2023-8-10 10:18

没提供entry point？

xjwtzq

BD 扫描miss

aboringman

dght432 发表于 2023-8-10 09:53
360执行ps脚本miss，dll未执行

PS1运行后似乎没有带下任何东西（

dll

1. 2023-08-10 12:53:00        [自动处理]          结束进程        防护 1 次
   
2. 详细描述：
   
3. 进程：C:\Windows\System32\rundll32.exe 10C5A0B5
   
4. 
   
5. 2023-08-10 12:53:00        [已阻止]          远程线程注入        防护 1 次
   
6. 详细描述：
   
7. 进程：C:\Windows\System32\rundll32.exe
   
8. 动作：远程线程注入
   
9. 路径：C:\Windows\System32\svchost.exe
   
10. 风险文件：C:\Users\Killer\Desktop\a\q.dll
    
11. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
    
12. 
    
13. 防护信息: AD|2, 744|30, 30, -1||

复制代码

好像对方挂了（

swizzer

GreatMOLA 发表于 2023-8-10 11:31
抱歉，可能是我的说辞有些疏漏。我的意思是，ps1文件已经被拉黑，dll文件确实可以加载。

我理解偏颇了因为我那个楼层的结果是UDS拉黑ps1文件，看到你说PDM阻止启动还以为是dll...

1. 事件: 检测到恶意对象
   
2. 组件: 入侵防御
   
3. 结果说明: 检测到
   
4. 类型: 木马
   
5. 名称: UDS:Trojan.Win64.Packed
   
6. 威胁级别: 高
   
7. 对象路径: G:\Testing\230810\a
   
8. 对象名称: NEW_User0_v2.ps1
   
9. 原因: 云保护
   
10. MD5: 9FE63369454FB389D883F08BAD486CF3

复制代码

yaokai815

金山毒霸miss