FakeAPP 1X

hsks

hxxps://u8g5l.cn/assets/download/sougou-10.11.exe
https://cowtransfer.com/s/9b9354912a0a44

https://www.virustotal.com/gui/f ... 6e95ba42a?nocache=1

典（）

不过这次似乎真出了bug，沙箱里没看到有cab文件释放（？）

好吧，是沙箱问题，实际双击了下




时间    操作    说明    次数
2023-09-11 23:29:07    [已阻止]      驱动/服务    防护 1 次
详细描述：
进程：C:\Users\Administrator\AppData\Roaming\WPerceptionsimulation\AMPPL\ALGinfo\ARMonitorControl\Haloonoroff.exe
动作：服务创建
路径：C:\Users\Administrator\AppData\Roaming\WPerceptionsimulation\AMPPL\ALGinfo\ARMonitorControl\OTGContainer.exe
风险文件：C:\Users\Administrator\AppData\Roaming\WPerceptionsimulation\AMPPL\ALGinfo\ARMonitorControl\TDPCONTROL.DLL
全部阻止
拦截补充描述：通常安全软件或硬件在安装时才会修改此注册表项。木马、病毒经常利用驱动提升破坏能力。如果您不认识此程序，请立即阻止。

猜测是#Farfli，因为往期用这套方式白加黑的大多是#farfli

防护信息: AD|10, 12|30, 30, 10||

aboringman

KIS：miss

双击杀2衍生物，属于选错了白程序（

1. 事件: 对象已删除
   
2. 应用程序名称: ASK.exe
   
3. 应用程序路径: C:\Users\Default\Desktop
   
4. 组件: 文件反病毒
   
5. 结果说明: 已删除
   
6. 类型: 木马
   
7. 名称: VHO:Trojan.Win32.Agentb.gen
   
8. 精确度: 启发式分析
   
9. 威胁级别: 高
   
10. 对象类型: 文件
    
11. 对象名称: bpchelper.dll
    
12. 对象路径: C:\Users\Killer\AppData\Roaming\WPerceptionsimulation\AMPPL\ALGinfo\ARMonitorControl
    
13. MD5: 7DC8A1E2CB1DCD516CD7E188C458FCBC

复制代码

1. 事件: 对象已删除
   
2. 应用程序名称: ASK.exe
   
3. 应用程序路径: C:\Users\Default\Desktop
   
4. 组件: 文件反病毒
   
5. 结果说明: 已删除
   
6. 类型: 广告软件
   
7. 名称: not-a-virus:HEUR:AdWare.Win32.Burden.gen
   
8. 精确度: 不确切
   
9. 威胁级别: 中
   
10. 对象类型: 文件
    
11. 对象名称: N0vaDesktop.exe
    
12. 对象路径: C:\Users\Killer\AppData\Roaming\WPerceptionsimulation\AMPPL\ALGinfo\ARMonitorControl
    
13. MD5: 2511055C29667D45EFFF43A764C06638

复制代码

Avast：miss

双击击杀1衍生物，也是暂时安全了（

CC的判定是暂时封锁，难得，虽然后来我直接就把它给关掉了，不然都跑不起来（





MD：miss

安装完检测到4个，监控解决了2个（2个在后续的扫描或双击触发中被解决）

监控处理部分：

bpchelper.dll：Trojan:Win32/Emotet!ml

AAR.dll：Trojan:Win32/Wacatac.H!ml

其他：

Case_Malaysia.dll：Program:Win32/Wacapew.C!ml

TDPCONTROL.dll：Trojan:Win32/Wacatac.B!ml

Baby小尧

ESET 扫描miss、双击未拦截，已上报

hsks

aboringman 发表于 2023-9-11 23:39
KIS：miss

双击杀2衍生物，属于选错了白程序（

有可疑进程还在运行吗吗

aboringman

hsks 发表于 2023-9-11 23:48
有可疑进程还在运行吗吗

没有

117054487

hsks 发表于 2023-9-11 23:48
有可疑进程还在运行吗吗

其实是因为杀了这个bpchelper.dll是这个比较重要的dll,那个exe用处不大，一般这个拦截到了后续就没用了那个exe卡巴第一次看见这种样本就杀了，不影响木马运行（）
BEST
高级威胁防护已阻止注入恶意代码的进程。进程路径: C:\Users\fengye\AppData\Roaming\WPerceptionsimulation\AMPPL\ALGinfo\ARMonitorControl\Haloonoroff.exe. 威胁名称: Gen:Variant.Graftor.129539.

第二天补充
BEST 重启后miss....

心醉咖啡

金山毒霸扫描miss

初心．杰

诺顿 扫描miss

祸兮福所倚

Xseckill

hhhq316

蜘蛛