FakeAPP 3X

显示全部楼层 · 发表于 2023-11-21 12:34:18

本帖最后由 hsks 于 2023-11-21 12:37 编辑

https://share.weiyun.com/UZdtgJ38
https://www.123pan.com/s/FJUmjv-jLzN.html
https://pan.huang1111.cn/s/G4R6iW

C2：27.124.47.137（TG.msi 腾讯游戏盒子service.exe白加黑）
8.222.200.3（经典Upupoo白加黑）
kekn.asselst.com （line.chm 银狐chm）

opendir：hxxp://114.132.150.18:5056/13150/

在火绒论坛看到了有小可爱被谷歌AD坑了的事例，并且不知道被钓鱼了

显示全部楼层 · 发表于 2023-11-21 12:38:26

PYAS V2.9.2 本地引擎 Kill 1

显示全部楼层 · 发表于 2023-11-21 12:47:10

卡巴扫描一个，执行杀剩余的两个
事件: 检测到恶意对象
应用程序名称: WinRAR.exe
应用程序路径: D:\WinRAR
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Script.Generic
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: ErrorLog.html
对象路径: D:\Browerdownload\Compressed\cas\line.x64.chm//
对象的 MD5: 6231FA2C7552188D94E3D80FD9F0EF91
原因: 专家分析
数据库发布日期: 今天，2023-11-21 8:40:00

显示全部楼层 · 发表于 2023-11-21 13:05:51

火绒
扫描：特征 1X

扫描文件：3
发现风险：1
已处理风险：1
病毒详情：
风险路径：C:\Users\Administrator\Desktop\cas\TG.msi >> Utility.dll, 病毒名：Trojan/HiJack.aa, 病毒ID：55c4cdf38c170f0f, 处理结果：已处理，删除文件

复制代码

双击：
Line.exe：多步捉

病毒名称：TrojanDropper/MalSetup.GD
病毒路径：C:\Users\Default\Desktop\LNKNEW\7eda7c2507597f66ACK.exe
操作结果：已处理

复制代码

line.x64.chm：多步捉

病毒名称：Backdoor/Farfli.C
病毒路径：C:\Users\Administrator\AppData\Roaming\Searchse\FedxbuNCgJXboUQWnUlEoZfWmYxhPy\xzCHQzzeZl.exe
操作结果：已处理，删除文件

复制代码

X-Sec
扫描：1X

2023/11/21 13:04:44 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\cas\line.x64.chm -- [rame-classic] HackTool.GadgetToJScript/JS!1.EBF0

复制代码

显示全部楼层 · 发表于 2023-11-21 13:13:37

本帖最后由嘿嘿不能说于 2023-11-21 17:36 编辑

Avast：0

chm运行击杀1衍生物

其他两个均防御失败（无任何拦截）

360（套装）：1

chm：击杀1衍生物

Line.exe：击杀1衍生物

2023-11-21 13:42:47 [自动阻止] 修改关键程序DLL文件防护 1 次
详细描述：
进程：C:\USERS\DEFAULT\DESKTOP\LNKNEW\7EDA7C2507597F66ACK.EXE
动作：试图修改
路径：C:\Users\Killer\AppData\Roaming\CAS_Lineglc\LINE\bin\6.7.4.2508\ucrtbase.dll
不再提醒(0x655c4357)
防护信息: FD|18, 548|30, -1, -1|||
2023-11-21 13:42:47 [已阻止] 修改关键程序DLL文件防护 1 次
详细描述：
进程：C:\USERS\DEFAULT\DESKTOP\LNKNEW\7EDA7C2507597F66ACK.EXE
动作：试图修改
路径：C:\Users\Killer\AppData\Roaming\CAS_Lineglc\LINE\bin\6.7.4.2508\ucrtbase.dll
防护信息: FD|18, 548|30, 10, -1|||
2023-11-21 13:42:35 [自动阻止] 修改关键程序DLL文件防护 1 次
详细描述：
进程：C:\USERS\DEFAULT\DESKTOP\LNKNEW\7EDA7C2507597F66ACK.EXE
动作：试图修改
路径：C:\Users\Killer\AppData\Roaming\CAS_Lineglc\LINE\bin\6.7.4.2508\dbghelp.dll
不再提醒(0x655c434b)
防护信息: FD|18, 548|30, -1, -1|||
2023-11-21 13:42:35 [已阻止] 修改关键程序DLL文件防护 1 次
详细描述：
进程：C:\USERS\DEFAULT\DESKTOP\LNKNEW\7EDA7C2507597F66ACK.EXE
动作：试图修改
路径：C:\Users\Killer\AppData\Roaming\CAS_Lineglc\LINE\bin\6.7.4.2508\dbghelp.dll
防护信息: FD|18, 548|30, 10, -1|||
2023-11-21 13:41:51 [自动阻止] 模拟按键防护 1 次
详细描述：
进程：C:\Windows\SysWOW64\msiexec.exe "C:\Windows\System32\msiexec.exe" /i C:\Usersstall\LINK.msi AI_SETUPEXEPATH=C:\Users\Killer\Desktop\cas\Line.exe SETUPEXEDIR=C:\Users\Killer\Desktop\cas\ EXE_CMD_LINE="/exenoupdates " , (1, 24)
动作：模拟按键
路径：
2023-11-21 13:41:50 [自动阻止] 模拟按键防护 1 次
详细描述：
进程：C:\Users\Killer\Desktop\cas\Line.exe "C:\Users\Killer\Desktop\cas\Line.exe" , (1, 24)
动作：模拟按键
路径：

复制代码

Norton：0

line.x64.chm：运行后击杀1衍生物

文件名: gACqKYkPkN.dll
威胁名称: Heur.AdvML.A完整路径: C:\Users\Killer\AppData\Roaming\Searchse\gACqKYkPkNGeTNSOFfintxyNzFRwDU\gACqKYkPkN.dll
____________________________
____________________________
在电脑上
2023/11/21 ( 17:25:25 )
上次使用时间
2023/11/21 ( 17:27:25 )
启动项
否
已启动
否
威胁类型: 启发式病毒。根据恶意软件启发式技术检测威胁。
____________________________
gACqKYkPkN.dll威胁名称: Heur.AdvML.A
定位
极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。
极新的文件
该文件已在不到 1 周前发行。
高
此文件具有高风险。
____________________________
来源: 外部介质
源文件:
gACqKYkPkN.dll
____________________________
文件操作
文件: C:\Users\Killer\AppData\Roaming\Searchse\gACqKYkPkNGeTNSOFfintxyNzFRwDU\gACqKYkPkN.dll已删除
____________________________
文件指纹 - SHA:
06680092b8a3ab6406ac77bd2331d462be666ae58f9dfede2b382d2513ce2147
文件指纹 - MD5:
d11744a11023d4cd477284c59255637c

复制代码

TG.msi：寄

Line.exe：击杀1衍生物

文件名: cefvidf.dll
威胁名称: Heur.AdvML.B完整路径: C:\Users\Killer\AppData\RoamingLocalLows\WPerceptionsimulation\AMPPL\ALGinfo\ARMonitorControl\cefvidf.dll
____________________________
____________________________
在电脑上
2023/11/21 ( 17:29:36 )
上次使用时间
2023/11/21 ( 17:31:36 )
启动项
否
已启动
否
威胁类型: 启发式病毒。根据恶意软件启发式技术检测威胁。
____________________________
cefvidf.dll威胁名称: Heur.AdvML.B
定位
极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。
极新的文件
该文件已在不到 1 周前发行。
高
此文件具有高风险。
____________________________
来源: 外部介质
源文件:
cefvidf.dll
____________________________
文件操作
文件: C:\Users\Killer\AppData\RoamingLocalLows\WPerceptionsimulation\AMPPL\ALGinfo\ARMonitorControl\cefvidf.dll已删除
____________________________
文件指纹 - SHA:
c2b3d190324da2ada9c0fa24e008612041da5bbe9657677bc34886b67d61eadd
文件指纹 - MD5:
fccc1f6b591e932b64c095a904188a6c

复制代码

显示全部楼层 · 发表于 2023-11-21 13:20:36

本帖最后由 GreatMOLA 于 2023-11-21 13:27 编辑

Deep Instinct 扫描0，执行

TG.msi：主防拦截反射式注入。

Line.exe：杀衍生物，安装失败。

line.x64.chm：主防拦截反射式注入。

Check Point 自动响应，连坐一大堆。

显示全部楼层 · 发表于 2023-11-21 13:47:34

类型:包含木马的压缩包文件
描述:包含至少 1 个木马程序
Binary.viewer.exe : HEUR/QVM10.2.7869.Malware.Gen

扫描引擎:云特征引擎
位置:D:\360安全浏览器下载\cas\TG.msi
处理建议:隔离文件

显示全部楼层 · 发表于 2023-11-21 14:26:47

蜘蛛Miss
EMSI 2

显示全部楼层 · 发表于 2023-11-21 14:39:34

EIS killed 1x, KART blocked 2x

显示全部楼层 · 发表于 2023-11-21 14:58:28

C:\Users\123456\Desktop\cas\line.x64.chm=>ErrorLog.html=>(INFECTED_JS) 是恶意软件 GT:JS.NETLoader.4.7FD0BEA1
Line.exe---执行杀衍生物
实时防护检测到威胁。该文件已被删除。C:\Users\Default\Desktop\LNKNEW\yybob\eliminate.dll 是恶意软件 AI:Zegost.45841.C66B7F901A
TG.msi---安装后BEST对同一个衍生物触发了无限次ATC阻止（僵持在那了）
重启后未见异常，手动删除衍生物了

[病毒样本] FakeAPP 3X

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块