FakeAPP 5X

显示全部楼层 · 发表于 2023-10-19 23:49:29

本帖最后由 hsks 于 2023-10-19 23:53 编辑

银狐（谷堕）：

https://www.virustotal.com/gui/f ... 5903283e3c344240fff

某msi样本里的（hxxps://sites.google.com/view/sms-5/home----------hxxps://dadae.oss-cn-hongkong.aliyuncs.com/SMS-ActivateLastVersion.msi）

https://pan.huang1111.cn/s/mZW8i1

密码是INFECTED
我又开大写了

显示全部楼层 · 发表于 2023-10-20 00:22:26

Emptied.

显示全部楼层 · 发表于 2023-10-20 00:27:10

Hibike 发表于 2023-10-20 00:22
Emptied.

dual-use tool是什么，查了一下，似乎是用良性工具干坏事？（

显示全部楼层 · 发表于 2023-10-20 00:50:43

卡巴扫描一个，执行pdm杀3个，还有一个执行后卡巴杀衍生物
事件: 检测到恶意对象
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: UDS:Trojan-Downloader.Win32.Bitmin.gen
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: SMS-ActivateLastVersion.msi
对象路径: D:\Browerdownload\Compressed\5 x
对象的 MD5: FDD7F1149F9845537B62562D7D1C8DAE
原因: 云保护

wps:
事件: 检测到恶意对象
应用程序: WPS-Office Install Application
用户: DESKTOP-DQJ0HTT\lybing
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\lybing\Desktop\5 x
对象名称: Wps.exe
原因: 行为分析
数据库发布日期: 昨天，2023/10/19 17:57:00
MD5: FA05A54376D3377967E52BA78DEE8BA6

sogou.exe:
事件: 检测到恶意对象
应用程序: De-elevation tool
用户: DESKTOP-DQJ0HTT\lybing
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
类型: 木马
名称: PDM:Exploit.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Program Files (x86)\uu\搜搜手心独立版
对象名称: DeElevate.exe
原因: 行为分析
数据库发布日期: 昨天，2023/10/19 17:57:00
MD5: 629B6671CED1F1992D0F331B0DC97862

sutr.exe:
事件: 检测到恶意对象
应用程序: De-elevation tool
用户: DESKTOP-DQJ0HTT\lybing
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
类型: 木马
名称: PDM:Exploit.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Program Files (x86)\mmk\Meimei跨境
对象名称: DeElevate.exe
原因: 行为分析
数据库发布日期: 昨天，2023/10/19 17:57:00
MD5: 629B6671CED1F1992D0F331B0DC97862
meiqiaAppu.exe杀衍生物：
事件: 检测到恶意对象
用户: DESKTOP-DQJ0HTT\lybing
用户类型: 发起者
应用程序名称: Yloux.exe
应用程序路径: C:\Windows\Runn
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: HEUR:Backdoor.Win64.nimpl.a
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: 1.bin
对象路径: C:\Windows\Runn
对象的 MD5: 1CF48CA2AE8F8113C5F6028DD42855AD
原因: 专家分析
数据库发布日期: 昨天，2023/10/19 17:57:00

显示全部楼层 · 发表于 2023-10-20 02:05:57

hsks 发表于 2023-10-20 00:27
dual-use tool是什么，查了一下，似乎是用良性工具干坏事？（

yep，就是你查到的意思。

之前样本区出现的用修改配置后的TrueUpdate干坏事的样本就属于这种

显示全部楼层 · 发表于 2023-10-20 08:57:12

本帖最后由 hhhq316 于 2023-10-20 09:27 编辑

EMSI 双击
杀2本体（sougou和surt），3释放物

蜘蛛阻断2

显示全部楼层 · 发表于 2023-10-20 09:14:31

ESET扫描kill1
其余启动后被高级内存扫描清除

显示全部楼层 · 发表于 2023-10-20 09:43:56

CheckPoint 扫描+执行清空

沙盒又被反复摩擦...CP这主防太残暴...

显示全部楼层 · 发表于 2023-10-20 09:48:41

本帖最后由骨灰级小白于 2023-10-20 09:53 编辑

小A 1X，剩下4个双击毛豆入沙，小A miss。EEK扫描miss。NPE 1X。

显示全部楼层 · 发表于 2023-10-20 12:37:27

本帖最后由 UNknownOoo 于 2023-10-20 12:44 编辑

火绒
扫描：特征 3X

剩下双击：
SMS-ActivateLastVersion.msi -> MISS，手动扫描捉衍生物info.txt

sutr.exe -> 实时监控捉衍生物log.dll，运行失败

[病毒样本] FakeAPP 5X

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块