#Stealc (2023-09-15)

显示全部楼层 · 发表于 2023-9-15 20:40:12

本帖最后由 761773275 于 2023-9-15 20:41 编辑

hhhq316 发表于 2023-9-15 20:39
这个是毛豆的EDR吗？免费的吗？可以说一下怎么部署的吗？

https://bbs.kafan.cn/thread-2234422-1-1.html
版本和個人版高不少

显示全部楼层 · 发表于 2023-9-15 20:40:44

WD:Trojan:Win32/AgentTesla!ml

显示全部楼层 · 发表于 2023-9-15 20:44:53

761773275 发表于 2023-9-15 20:40
https://bbs.kafan.cn/thread-2234422-1-1.html
版本和個人版高不少

多少毛毛

显示全部楼层 · 发表于 2023-9-15 21:01:42

显示全部楼层 · 发表于 2023-9-15 21:26:31

编译文件，创建一些可以利用的程序

行为: 创建进程
拦截规则: [禁止]黑名单启动
响应动作: 询问（允许）
拦截时间: 2023-09-15 21:23:21
拦截次数: 1
进程名称: Haruhi.exe
进程路径: C:\Users\Administrator\Desktop\Haruhi.exe
进程命令行: "C:\Users\Administrator\Desktop\Haruhi.exe"
操作目标: C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe

火绒恶意行为监控
病毒名称：ADV:Trojan/GenInjector.A!1.4
病毒路径：C:\Users\Administrator\Desktop\Haruhi.exe

显示全部楼层 · 发表于 2023-9-15 21:53:20

sanhu35 发表于 2023-9-15 21:26
编译文件，创建一些可以利用的程序

行为: 创建进程

通过HollowProcess注入InstallUtil.exe使其窃取浏览器保存的密码。跟编译文件没什么关系。

显示全部楼层 · 发表于 2023-9-15 22:37:16

显示全部楼层 · 发表于 2023-9-15 22:52:48

swizzer 发表于 2023-9-15 21:53
通过HollowProcess注入InstallUtil.exe使其窃取浏览器保存的密码。跟编译文件没什么关系。

这目录我一概叫他编译

显示全部楼层 · 发表于 2023-9-16 09:52:16

火绒
扫描：MISS

显示全部楼层 · 发表于 2023-9-16 12:27:40

赤豹扫描0

[病毒样本] #Stealc (2023-09-15)

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源