假搜狗输入法

显示全部楼层 · 发表于 2023-8-25 23:12:21

hxxps://s.wpoek.club/static/upload/sougoupinyin.exe

这域名好像似曾相识...如果之前有的话那这次下发的应该是新更新
不清楚是沙箱英语环境的原因还是样本的bug，沙箱环境样本会报错，显示找不到cab文件（可结果显示cab文件好好地下发在应在的地方）

https://cowtransfer.com/s/bb687d2e111d46

白加黑衍生物沙箱分析：https://tria.ge/230825-sdyfdseg2t/behavioral4 #Farfli（？）

显示全部楼层 · 发表于 2023-8-25 23:19:30

显示全部楼层 · 发表于 2023-8-25 23:32:05

蜘蛛Miss

显示全部楼层 · 发表于 2023-8-25 23:58:36

sougoupinyin.exe » ADVANCEDINSTALLER - archive damaged

显示全部楼层 · 发表于 2023-8-25 23:59:50

本帖最后由 hsks 于 2023-8-26 00:02 编辑

Eset小粉絲发表于 2023-8-25 23:58
sougoupinyin.exe » ADVANCEDINSTALLER - archive damaged

损坏了？

那就是样本本身的问题了吧...cab本身下发的payload应该没问题

，毕竟和C2成功建立连接了

显示全部楼层 · 发表于 2023-8-26 01:47:13

S1执行kill

显示全部楼层 · 发表于 2023-8-26 08:18:44

360扫描miss

显示全部楼层 · 发表于 2023-8-26 10:15:11

本帖最后由 GreatMOLA 于 2023-8-26 10:16 编辑

Norton kill

HKeyboard.dll - Heur.AdvML.B
熟悉的衍生物...

显示全部楼层 · 发表于 2023-8-26 11:14:46

360安全卫士云QVM云特征引擎
类型:木马-HEUR/QVM10.2.8DFF.Malware.Gen
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:云特征引擎
文件路径:F:\360SANDBOX\SHADOW\8\sougoupinyin\sougoupinyin.exe
文件大小:125.59M (131,689,151 字节)
文件版本:1.30.0
文件描述:搜狗输入法金秋 Installer
文件指纹（MD5）:ed226d3d12b00b0affe58e84e23920cd
处理建议:隔离文件

显示全部楼层 · 发表于 2023-8-26 11:19:56

卡巴竟然报毒了：
事件: 检测到恶意对象
用户: GP76\Xzz123
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Win32.Agent.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: HKeyboard.dll
对象路径: E:\virus\sougoupinyin.exe// 讚e昭?.cab//
对象的 MD5: 48E38A57E83C94B9543FE357C2D050EF
原因: 机器学习
数据库发布日期: 今天，2023/8/26 8:21:00

[病毒样本] 假搜狗输入法

评分

本帖子中包含更多资源

本帖子中包含更多资源