x2 (2023-09-13)

显示全部楼层 · 发表于 2023-9-13 19:07:21

https://www.upload.ee/files/15679948/Refel.7z.html

显示全部楼层 · 发表于 2023-9-13 19:24:50

本帖最后由 anxiety520 于 2023-9-13 20:25 编辑

卡巴

Killed All.

显示全部楼层 · 发表于 2023-9-13 19:36:52

本帖最后由 hhhq316 于 2023-9-13 23:26 编辑

蛛蛛2

显示全部楼层 · 发表于 2023-9-13 20:22:06

BDTS miss

显示全部楼层 · 发表于 2023-9-13 20:32:27

SentinelOne all.

显示全部楼层 · 发表于 2023-9-13 20:38:22

hhhq316 发表于 2023-9-13 19:36
蛛蛛

感觉最近不少样本都被这条Inject.3.544特征覆盖到了

有点神奇

显示全部楼层 · 发表于 2023-9-13 20:49:09

swizzer 发表于 2023-9-13 20:38
感觉最近不少样本都被这条Inject.3.544特征覆盖到了

有点神奇

难到是通杀？

显示全部楼层 · 发表于 2023-9-13 20:57:14

本帖最后由 sanhu35 于 2023-9-13 21:00 编辑

Refle.exe

行为: 操作文件
拦截规则: [结束]写入特殊目录(新建)
响应动作: 询问（允许）
拦截时间: 2023-09-13 20:53:10
拦截次数: 1
进程名称: Refle.exe
进程路径: C:\Users\Administrator\Desktop\Refle.exe
进程命令行: "C:\Users\Administrator\Desktop\Refle.exe"
操作目标: C:\Users\Public\Pictures\kgTn5K.exe

行为: 创建进程
拦截规则: [禁止]特殊目录启动
响应动作: 询问（允许）
拦截时间: 2023-09-13 20:53:18
拦截次数: 1
进程名称: Refle.exe
进程路径: C:\Users\Administrator\Desktop\Refle.exe
进程命令行: "C:\Users\Administrator\Desktop\Refle.exe"
操作目标: C:\Users\Public\Pictures\kgTn5K.exe

行为: 创建计划任务
拦截规则: 创建任务计划
响应动作: 询问（默认拦截）
拦截时间: 2023-09-13 20:53:21
拦截次数: 1
进程名称: svchost.exe
进程路径: C:\Windows\System32\svchost.exe
进程命令行: C:\Windows\system32\svchost.exe -k netsvcs -p
操作目标: Micros0ftEdgeUpdateTask0UA Task-S-1-5-18|C:\Windows\system32\cmd.exe /c "cd C:\Users\Public\Pictures" && start kgTn5K.exe -d

行为: 操作文件
拦截规则: [保护]写入高危文件(修改)
响应动作: 询问（允许）
拦截时间: 2023-09-13 20:53:25
拦截次数: 1
进程名称: kgTn5K.exe
进程路径: C:\Users\Public\Pictures\kgTn5K.exe
进程命令行: "C:\Users\Public\Pictures\kgTn5K.exe"
操作目标: C:\Microsoft\xxxxxxxx.exe

行为: 操作文件
拦截规则: [保护]写入高危文件(修改)
响应动作: 询问（允许）
拦截时间: 2023-09-13 20:53:27
拦截次数: 1
进程名称: kgTn5K.exe
进程路径: C:\Users\Public\Pictures\kgTn5K.exe
进程命令行: "C:\Users\Public\Pictures\kgTn5K.exe"
操作目标: C:\ProgramData\Microsoft\iXXX3XXX.exe

行为: 操作文件
拦截规则: [保护]写入高危文件(修改)
响应动作: 询问（允许）
拦截时间: 2023-09-13 20:53:29
拦截次数: 1
进程名称: kgTn5K.exe
进程路径: C:\Users\Public\Pictures\kgTn5K.exe
进程命令行: "C:\Users\Public\Pictures\kgTn5K.exe"
操作目标: C:\ProgramData\xxxx\xxx.exe

行为: 操作文件
拦截规则: [保护]写入高危文件(修改)
响应动作: 询问（允许）
拦截时间: 2023-09-13 20:53:29
拦截次数: 1
进程名称: kgTn5K.exe
进程路径: C:\Users\Public\Pictures\kgTn5K.exe
进程命令行: "C:\Users\Public\Pictures\kgTn5K.exe"
操作目标: C:\xx.exe

衍生物

第二个

行为: 操作文件
拦截规则: [结束]写入特殊目录(新建)
响应动作: 询问（允许）
拦截时间: 2023-09-13 20:59:15
拦截次数: 1
进程名称: 重庆忽米网络科技有限公司美年A套餐2023.exe
进程路径: C:\Users\Administrator\Desktop\Reflective\重庆忽米网络科技有限公司美年A套餐2023.exe
进程命令行: "C:\Users\Administrator\Desktop\Reflective\重庆忽米网络科技有限公司美年A套餐2023.exe"
操作目标: C:\Users\Public\word.xlsx

显示全部楼层 · 发表于 2023-9-13 21:02:02

本帖最后由 aboringman 于 2023-9-13 21:40 编辑

MD：1

Refle.exe：Trojan:Win32/Wacatac.B!ml

两个重庆.exe双击，如下（但都正常运行）

等了一会之后被重启

（MAX）

Avast：3

CC一如既往地拉胯

显示全部楼层 · 发表于 2023-9-13 21:11:53

ESET kill：
时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
2023/9/13 21:08:00;文件系统实时防护;文件;C:\Users\YY\Downloads\Refel\Refle.exe;Win64/TrojanDropper.Agent.IL 特洛伊木马的变量;已通过删除清除;DESKTOP-VHGCAP2\YY;在通过应用程序创建的新文件上发生了事件: C:\Program Files\7-Zip\7zG.exe (6DAB8C3822A0CAB5B621FD2B7F16AEBB159BCB56).;CEA6715C3F58740714AF8B9A6608D3D7F4AFE997;2023/9/13 21:07:59
时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
2023/9/13 21:08:32;高级内存扫描程序;文件;系统内存 > 重庆忽米网络科技有限公司美年2023分院信息.exe(10056);Win32/Rozena.SA 特洛伊木马的变量;已包含被感染的文件;DESKTOP-VHGCAP2\YY;;B9F17677C2342937E31DFD2DA49E4B33117C59DC;
时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
2023/9/13 21:08:44;高级内存扫描程序;文件;系统内存 > 重庆忽米网络科技有限公司美年A套餐2023.exe(7772);Win32/Rozena.SA 特洛伊木马的变量;已包含被感染的文件;DESKTOP-VHGCAP2\YY;;3CBD826C3861B103D7A6CD201197E1D5FD012AB7;

[病毒样本] x2 (2023-09-13)

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源