CS

hsks

https://www.virustotal.com/gui/f ... c1c40a78c?nocache=1

https://tria.ge/230811-bat55abf5s/behavioral1

swizzer

刚准备发这个来着
智量: WIBD:HEUR.ShellCode.I

PDM & ATC both missed. -> 卡巴拉黑/BD入库

UDS:Trojan.Win64.Agentb.a
Trojan.GenericFCA.Agent.100729



感觉像是红队样本...

小Q机器人

swizzer 发表于 2023-8-11 09:01
刚准备发这个来着
智量: WIBD:HEUR.ShellCode.I

智量还是牛逼  停止维护这么久了。

kuroandsan

F-S missed

dght432

类型:木马-HEUR/QVM202.0.399E.Malware.Gen
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:云特征引擎
文件路径:D:\360安全浏览器下载\关于调整北部湾航空基层干部员工2023年7月份绩效考核结果的通知\关于调整北部湾航空基层干部员工2023年7月份绩效考核结果的通知.exe
文件大小:2.52M (2,643,104 字节)
文件指纹（MD5）:404357e3f4b8f6edb0cf09e45b1196cd
处理建议:隔离文件

GreatMOLA

Norton

1. 文件名: 关于调整北部湾航空基层干部员工2023年7月份绩效考核结果的通知.exe
   
2. 威胁名称: Backdoor.Cobalt!gm1完整路径: 不可用
   
3. 
   
4. ____________________________
   
5. 
   
6. ____________________________
   
7. 
   
8. 
   
9. 在电脑上 
   
10. 2023/8/11 ( 10:48:44 )
    
11. 
    
12. 上次使用时间 
    
13. 2023/8/11 ( 10:48:44 )
    
14. 
    
15. 启动项 
    
16. 否
    
17. 已启动 
    
18. 是
    
19. 行为主动防护监视电脑上的可疑程序活动。
    
20. 
    
21. ____________________________
    
22. 
    
23. 
    
24. 关于调整北部湾航空基层干部员工2023年7月份绩效考核结果的通知.exe威胁名称: Backdoor.Cobalt!gm1
    
25. 定位
    
26. 
    
27. 
    
28. 极少用户信任的文件
    
29. Norton 社区中有不到 5 名用户使用了此文件。
    
30. 
    
31. 极新的文件
    
32. 该文件已在不到 1 周前发行。
    
33. 
    
34. 高
    
35. 此文件具有高风险。
    
36. 
    
37. 
    
38. ____________________________
    
39. 
    
40. 
    
41. 来源: 外部介质
    
42. 
    
43. 源文件:
    
44. 关于调整北部湾航空基层干部员工2023年7月份绩效考核结果的通知.exe
    
45. 
    
46. ____________________________
    
47. 
    
48. 文件操作
    
49. 
    
50. 文件: c:\Users\wangl\Desktop\关于调整北部湾航空基层干部员工2023年7月份绩效考核结果的通知.exe威胁已删除
    
51. 
    
52. 文件: c:\Users\wangl\AppData\Local\Temp\tmp_vtruex.docx威胁已删除
    
53. 
    
54. ____________________________
    
55. 
    
56. 注册表操作
    
57. 
    
58. 注册表更改: HKEY_USERS\S-1-5-21-1512411309-1173962792-795175251-1003_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache->C:\Program Files\Windows NT\Accessories\WORDPAD.EXE.FriendlyAppName, 注册表配置单元: 64 位威胁已删除
    
59. 
    
60. 注册表更改: HKEY_USERS\S-1-5-21-1512411309-1173962792-795175251-1003_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache->C:\Program Files\Windows NT\Accessories\WORDPAD.EXE.ApplicationCompany, 注册表配置单元: 64 位威胁已删除
    
61. 
    
62. 注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults->data:..., 注册表配置单元: 64 位已修复
    
63. 
    
64. ____________________________
    
65. 
    
66. 系统设置操作
    
67. 
    
68. 事件: 进程启动 (执行者 c:\users\wangl\desktop\关于调整北部湾航空基层干部员工2023年7月份绩效考核结果的通知.exe, PID:9664)未采取操作
    
69. 
    
70. 事件: 进程启动: c:\users\wangl\desktop\关于调整北部湾航空基层干部员工2023年7月份绩效考核结果的通知.exe, PID:9664 (执行者 c:\users\wangl\desktop\关于调整北部湾航空基层干部员工2023年7月份绩效考核结果的通知.exe, PID:9664)未采取操作
    
71. 
    
72. 事件: 进程启动 (执行者 c:\users\wangl\desktop\关于调整北部湾航空基层干部员工2023年7月份绩效考核结果的通知.exe, PID:10956)未采取操作
    
73. 
    
74. 事件: 进程启动: c:\Windows\System32\cmd.exe, PID:12112 (执行者 c:\users\wangl\desktop\关于调整北部湾航空基层干部员工2023年7月份绩效考核结果的通知.exe, PID:10956)未采取操作
    
75. 
    
76. 事件: 进程启动: c:\program files\windows nt\accessories\wordpad.exe, PID:12136 (执行者 c:\users\wangl\desktop\关于调整北部湾航空基层干部员工2023年7月份绩效考核结果的通知.exe, PID:10956)未采取操作
    
77. 
    
78. 事件: 进程启动: c:\users\wangl\desktop\关于调整北部湾航空基层干部员工2023年7月份绩效考核结果的通知.exe, PID:10956 (执行者 c:\users\wangl\desktop\关于调整北部湾航空基层干部员工2023年7月份绩效考核结果的通知.exe, PID:10956)未采取操作
    
79. 
    
80. ____________________________
    
81. 
    
82. 
    
83. 文件指纹 - SHA:
    
84. 不可用
    
85. 文件指纹 - MD5:
    
86. 不可用
    

复制代码

hansyu

McAfee
ti!B3ADF38A949B

761773275

SOPHOS MISS

aikafans

360解压杀

biue