17X

hsks

https://wwtw.lanzouq.com/it6Jv1evwu1a

大部分样本来自hxxp://118.99.40.119/  里面host了1个被triage明确标为Gh0stRat远控的样本，7.chm在样本区里也曾出现过，其余样本也有可疑的行为
1-4.exe+l.exe为Gh0st远控，其中1-4.exe为https://bbs.kafan.cn/thread-2262509-1-1.html的同源样本
可疑样本的C2：119.27.172.83

UNknownOoo

火绒
扫描：1X

1. 病毒库时间：2023-11-14 17:43
   
2. 开始时间：2023-11-15 00:12
   
3. 总计用时：00:00:01
   
4. 扫描对象：419
   
5. 扫描文件：16
   
6. 发现风险：1
   
7. 已处理风险：0
   
8. 病毒详情：
   
9. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\selection\l.exe, 病毒名：Backdoor/Lotok.ab, 病毒ID：0c9f1fcac4672fb2, 处理结果：暂不处理
   

复制代码

X-Sec
扫描：6X

1. ---------------------
   
2. 2023/11/15 00:13:35 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\selection\11062028.exe -- [rame-cloud] Trojan.Kryptik!8.8
   
3. 2023/11/15 00:13:37 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\selection\11101102.exe -- [rame-cloud] Trojan.Kryptik!8.8
   
4. 2023/11/15 00:13:38 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\selection\11131029.exe -- [rame-cloud] Trojan.Kryptik!8.8
   
5. 2023/11/15 00:13:39 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\selection\133323851&fm.exe -- [rame-cloud] Backdoor.Zegost!8.177
   
6. 2023/11/15 00:13:40 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\selection\3.exe -- [rame-cloud] Trojan.Zenpak!8.10372
   
7. 2023/11/15 00:13:40 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\selection\4.exe -- [rame-cloud] Trojan.Zenpak!8.10372

复制代码

swizzer

绷，刚双击一个就被关机了
但是，SentinelOne killed all:

hsks

swizzer 发表于 2023-11-15 00:27
绷，刚双击一个就被关机了

坏了，我在实体机运行用火绒看行为的（triage跑不出来）
（

不过我把C2连接断了，移动到Temp的样本也删了，问题不大（

秋日之殇

卡巴双击剩余2个，c2不通呀

lambggy

文件总数16x，江民 kill 14x，剩余2x：

【病毒信息】
时间 路径 扫描结果 病毒名
2023-11-15 00:27:50 C:\Users\Administrator\Desktop\selection\img20231104_134.exe 删除病毒 Trojan.PE.AI
2023-11-15 00:27:50 C:\Users\Administrator\Desktop\selection\imToDesk104_134.exe 删除病毒 Trojan.PE.AI
2023-11-15 00:27:50 C:\Users\Administrator\Desktop\selection\11132204-5.exe 删除病毒 Trojan.PE.AI
2023-11-15 00:27:50 C:\Users\Administrator\Desktop\selection\11122041.exe 删除病毒 Trojan.PE.AI
2023-11-15 00:27:49 C:\Users\Administrator\Desktop\selection\3.exe 删除病毒 Unsafe.PE.AI
2023-11-15 00:27:49 C:\Users\Administrator\Desktop\selection\11131029.exe 删除病毒 Trojan.PE.AI
2023-11-15 00:27:49 C:\Users\Administrator\Desktop\selection\11062028.exe 删除病毒 Trojan.PE.AI
2023-11-15 00:27:49 C:\Users\Administrator\Desktop\selection\2.exe 删除病毒 Unsafe.PE.AI
2023-11-15 00:27:48 C:\Users\Administrator\Desktop\selection\1.exe 删除病毒 Trojan.PE.AI
2023-11-15 00:27:48 C:\Users\Administrator\Desktop\selection\133323851&fm.exe 删除病毒 Trojan.PE.AI
2023-11-15 00:27:47 C:\Users\Administrator\Desktop\selection\11122050.exe 删除病毒 Trojan.PE.AI
2023-11-15 00:27:47 C:\Users\Administrator\Desktop\selection\11072150.exe 删除病毒 Trojan.PE.AI
2023-11-15 00:27:47 C:\Users\Administrator\Desktop\selection\11132209-3.exe 删除病毒 Trojan.PE.AI
2023-11-15 00:27:47 C:\Users\Administrator\Desktop\selection\11101102.exe 删除病毒 Trojan.PE.AI

hsks

秋日之殇 发表于 2023-11-15 00:31
卡巴双击剩余2个，c2不通呀

C2不通正常，HFS服务器已经挂了7天多了，估计有些C2已经挂了（

所以我才标：可疑文件（

swizzer

hsks 发表于 2023-11-15 00:30
坏了，我在实体机运行用火绒看行为的（triage跑不出来）
（

应该是连不上C2自动关机吧，关机动作太快了

不过重启后S1已经把它干掉了（

117054487

best 清空 不过以云拉黑居多

GDHJDSYDH

EIS扫描9x，剩下的KART全部阻止