疑似白加黑 (dll带WHQL)

Jirehlov1234

1. import os
   
2. import json
   
3. import hashlib
   
4. import time
   
5. import subprocess
   
6. 
   
7. curl_path = "curl.exe"
   
8. base_url = "https://note.youdao.com/yws/public/notebook/d04da3da6f8f011be18e9fe893ed2cfb/subdir/WEB4c64cfb83b69382247b8bc37425e47ac"
   
9. backup_folder = "C:\\Users\\contact\\Desktop\\folder"
   
10. hash_algorithm = hashlib.sha256
    
11. 
    
12. def download_file(url, save_path):
    
13.     subprocess.run([curl_path, "-A", "MyApp", "-L", "-o", save_path, url], stdout=subprocess.PIPE, stderr=subprocess.PIPE)
    
14. 
    
15. def get_hash(file_path):
    
16.     hash_obj = hash_algorithm()
    
17.     with open(file_path, "rb") as f:
    
18.         for chunk in iter(lambda: f.read(4096), b""):
    
19.             hash_obj.update(chunk)
    
20.     return hash_obj.hexdigest()
    
21. 
    
22. def get_original_filename(file_path):
    
23.     base_name = os.path.basename(file_path)
    
24.     name, _ = os.path.splitext(base_name)
    
25.     return name
    
26. 
    
27. while True:
    
28.     response = subprocess.run([curl_path, "-A", "MyApp", "-s", base_url], stdout=subprocess.PIPE)
    
29.     data = json.loads(response.stdout)[2]
    
30.    
    
31.     for item in data:
    
32.         p = item["p"].split("/")[-1]
    
33.         tl = item["tl"]
    
34.         dl_url = f"https://note.youdao.com/yws/api/personal/file/{p}?method=download&shareKey=d04da3da6f8f011be18e9fe893ed2cfb"
    
35.         
    
36.         dl_path = os.path.join(backup_folder, tl)
    
37.         temp_dl_path = os.path.join(backup_folder, "_temp.zip")
    
38.         download_file(dl_url, temp_dl_path)
    
39.         actual_size = os.path.getsize(temp_dl_path)
    
40.             
    
41.         if actual_size >= 207 * 1024:  # Check if the file size is >= 207KB
    
42.             temp_hash = get_hash(temp_dl_path)
    
43.             final_dl_path = os.path.join(backup_folder, f"{temp_hash}.zip")
    
44.                
    
45.             if not os.path.exists(final_dl_path):
    
46.                 os.rename(temp_dl_path, final_dl_path)
    
47.             else:
    
48.                 os.remove(temp_dl_path)
    
49.                 print(f"Skipping existing file: {final_dl_path}")
    
50.         else:
    
51.             os.remove(temp_dl_path)
    
52.             print(f"File size is too small: {tl}")
    
53. 
    
54.     time.sleep(60)

复制代码

wwwab

swizzer 发表于 2023-8-24 08:35
新的

https://funami.lanzoub.com/iDJZA1695y5g

Dear Wwwab,

Thank you for your submission.
The detection for this threat will be included in the next update of detection engine, expected version: 27792.

Regards,

ESET Malware Response Team

wwwab

Dear Customer,

Thank you for submitting the sample to Fortinet.  

We have recently added detection for this malware. The signature will be included in the next regular update.

The sample you submitted will be detected as follows:
<UniAnsi.dll> with MD5: 22511904f621d1eaa3ab86a1190f30c8 - <W32/Agent.AFTL!tr>
<96d0806e438b5508a4bc0c85670> with MD5: cb072093838a0215803d0185df4a9af1 - <W32/Agent.HDN!tr.dldr>
<pbvm125.dll> with MD5: 6d63bd639adf4fb6d0f6ec3c1cf894bb - <W32/Agent.AFTL!tr>

好快

Jirehlov1234

wwwab 发表于 2023-8-25 01:05
好快

这不就是e家的报法

sanhu35

冰盾拦截事件：

行为: 操作文件
拦截规则: [保护]写入高危文件(修改)
响应动作: 询问（允许）
拦截时间: 2023-08-25 10:38:37
拦截次数: 1
进程名称: 96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe
进程路径: C:\Users\Administrator\Desktop\病毒测试\96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe
进程命令行: "C:\Users\Administrator\Desktop\病毒测试\96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe"
操作目标: C:\Users\Administrator\AppData\Roaming\1XH1H\Bvoe.exe

行为: 操作文件
拦截规则: 智能防护(添加开机启动)
响应动作: 询问（允许）
拦截时间: 2023-08-25 10:38:29
拦截次数: 1
进程名称: Bvoe.exe
进程路径: C:\Users\Administrator\AppData\Roaming\1XH1H\Bvoe.exe
进程命令行: "C:\Users\Administrator\AppData\Roaming\1XH1H\Bvoe.exe" -n C:\Users\Administrator\AppData\Roaming\1XH1H\IYI.zip -d C:\Users\Administrator\AppData\Roaming
操作目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LETsite_Cure.lnk

行为: 操作文件
拦截规则: 智能防护(添加开机启动)
响应动作: 询问（允许）
拦截时间: 2023-08-25 10:38:27
拦截次数: 1
进程名称: Bvoe.exe
进程路径: C:\Users\Administrator\AppData\Roaming\1XH1H\Bvoe.exe
进程命令行: "C:\Users\Administrator\AppData\Roaming\1XH1H\Bvoe.exe" -n C:\Users\Administrator\AppData\Roaming\1XH1H\IYI.zip -d C:\Users\Administrator\AppData\Roaming
操作目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LETsite_Cure.lnk

行为: 操作文件
拦截规则: 智能防护(添加开机启动)
响应动作: 询问（允许）
拦截时间: 2023-08-25 10:38:25
拦截次数: 1
进程名称: Bvoe.exe
进程路径: C:\Users\Administrator\AppData\Roaming\1XH1H\Bvoe.exe
进程命令行: "C:\Users\Administrator\AppData\Roaming\1XH1H\Bvoe.exe" -n C:\Users\Administrator\AppData\Roaming\1XH1H\IYI.zip -d C:\Users\Administrator\AppData\Roaming
操作目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LETsite_Cure.lnk

行为: 操作文件
拦截规则: [保护]写入高危文件(修改)
响应动作: 询问（允许）
拦截时间: 2023-08-25 10:38:19
拦截次数: 1
进程名称: 96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe
进程路径: C:\Users\Administrator\Desktop\病毒测试\96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe
进程命令行: "C:\Users\Administrator\Desktop\病毒测试\96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe"
操作目标: C:\Users\Public\Videos\EYEEUD\DXDDTC.exe

行为: 操作文件
拦截规则: 智能防护(添加开机启动)
响应动作: 询问（允许）
拦截时间: 2023-08-25 10:38:03
拦截次数: 1
进程名称: 96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe
进程路径: C:\Users\Administrator\Desktop\病毒测试\96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe
进程命令行: "C:\Users\Administrator\Desktop\病毒测试\96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe"
操作目标: C:\Users\Administrator\AppData\Roaming\1XH1H\Microsoft\Windows\Start Menu\Programs\startup

行为: 操作文件
拦截规则: 智能防护(添加开机启动)
响应动作: 询问（允许）
拦截时间: 2023-08-25 10:38:01
拦截次数: 1
进程名称: 96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe
进程路径: C:\Users\Administrator\Desktop\病毒测试\96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe
进程命令行: "C:\Users\Administrator\Desktop\病毒测试\96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe"
操作目标: C:\Users\Administrator\AppData\Roaming\1XH1H\Microsoft\Windows\Start Menu\Programs\startup\LETsite_Cure.lnk

行为: 操作文件
拦截规则: 智能防护(添加开机启动)
响应动作: 询问（允许）
拦截时间: 2023-08-25 10:37:59
拦截次数: 1
进程名称: 96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe
进程路径: C:\Users\Administrator\Desktop\病毒测试\96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe
进程命令行: "C:\Users\Administrator\Desktop\病毒测试\96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe"
操作目标: C:\Users\Administrator\AppData\Roaming\1XH1H\Microsoft\Windows\Start Menu\Programs\startup\LETsite_Cure.lnk

行为: 操作文件
拦截规则: 智能防护(添加开机启动)
响应动作: 询问（允许）
拦截时间: 2023-08-25 10:37:59
拦截次数: 1
进程名称: 96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe
进程路径: C:\Users\Administrator\Desktop\病毒测试\96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe
进程命令行: "C:\Users\Administrator\Desktop\病毒测试\96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe"
操作目标: C:\Users\Administrator\AppData\Roaming\1XH1H\Microsoft\Windows\Start Menu\Programs\startup\LETsite_Cure.lnk

行为: 操作文件
拦截规则: 智能防护(添加开机启动)
响应动作: 询问（允许）
拦截时间: 2023-08-25 10:37:55
拦截次数: 1
进程名称: 96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe
进程路径: C:\Users\Administrator\Desktop\病毒测试\96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe
进程命令行: "C:\Users\Administrator\Desktop\病毒测试\96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe"
操作目标: C:\Users\Administrator\AppData\Roaming\1XH1H\Microsoft\Windows\Start Menu\Programs\startup

行为: 操作文件
拦截规则: [保护]写入高危文件(新建)
响应动作: 询问（允许）
拦截时间: 2023-08-25 10:37:41
拦截次数: 1
进程名称: 96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe
进程路径: C:\Users\Administrator\Desktop\病毒测试\96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe
进程命令行: "C:\Users\Administrator\Desktop\病毒测试\96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe"
操作目标: C:\Users\Public\Videos\EYEEUD\pbvm125.dll

行为: 操作文件
拦截规则: [保护]写入高危文件(新建)
响应动作: 询问（允许）
拦截时间: 2023-08-25 10:37:39
拦截次数: 1
进程名称: 96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe
进程路径: C:\Users\Administrator\Desktop\病毒测试\96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe
进程命令行: "C:\Users\Administrator\Desktop\病毒测试\96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af.exe"
操作目标: C:\Users\Public\Videos\EYEEUD\pbvm125.dll

Hibike

wwwab 发表于 2023-8-25 09:05
好快

Fortinet?

wwwab

再补充一个https://www.virustotal.com/gui/f ... 280bb1078aabfd1757c

Jirehlov1234

wwwab 发表于 2023-8-25 03:22
再补充一个https://www.virustotal.com/gui/file/aa8a7dbb443af73878ed30ba364913fb3101ad80702cd280bb1078 ...

下发目录知道吗，好像不是另外两个的目录，下了一遍没有

wwwab

Jirehlov1234 发表于 2023-8-25 12:01
下发目录知道吗，好像不是另外两个的目录，下了一遍没有

这个dll签名时间是13号，应该是之前13-21号左右流行的时候下放的dll，现在换了

hsks

Jirehlov1234 发表于 2023-8-25 12:01
下发目录知道吗，好像不是另外两个的目录，下了一遍没有

好像还是那个FakeTG里的（）
https://www.virustotal.com/gui/file/d84b2a0632974c30a318ca1b44f42c5dc5078c20b9ff6707c0e7892b9e3676d6/relations
To：https://www.virustotal.com/gui/file/96d0806e438b5508a4bc0c85670325201e5e0abbf3b338d5ffbff601b05017af