FakeAPP 3X

hsks

今日首蚌：hxxps://quicckq.shop/assets/download/https://quicckqdown.oss-cn-hongkong.aliyuncs.com/quickq%20win32%2064.exe（搁着套娃呢，怪不得500 error）
二蚌：wuyoujm.7z，但是打不开（用了其他方法提取出来里面的msi）

这下没绷住，鱼钓不到了（

C2：8.217.251.31（wuyou.msi inspection.exe Gh0st远控）
156.245.11.7（quick.exe QQ音乐白加黑 Gh0st远控）
195.130.202.48（易歪歪.exe chrome.exe Gh0st远控 #灰树蛙）

Opendir：hxxp://38.47.207.57:33（#灰树蛙）

https://share.weiyun.com/sPja7d5b
https://pan.huang1111.cn/s/ZVWkcL

https://www.123pan.com/s/FJUmjv-g5zN.html

UNknownOoo

火绒
扫描：特征 2X

1. 扫描文件：3
   
2. 发现风险：2
   
3. 已处理风险：1
   
4. 病毒详情：
   
5. 风险路径：C:\Users\Administrator\Desktop\官方正版.jpg\quickq win32 64.exe, 病毒名：TrojanDropper/Agent.pk, 病毒ID：a7d877fca24f595d, 处理结果：暂不处理
   
6. 风险路径：C:\Users\Administrator\Desktop\官方正版.jpg\wuyoujm.msi >> inspection.exe, 病毒名：Backdoor/Farfli.kc, 病毒ID：dc7741dd81d87a91, 处理结果：已处理，删除文件

复制代码

剩下双击：MISS

X-Sec
扫描：2X

1. ---------------------
   
2. 2023/11/21 23:59:06 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\infected\官方正版.jpg\wuyoujm.msi -- [rame-classic] Downloader.Agent!1.E423
   
3. 2023/11/21 23:59:14 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\infected\官方正版.jpg\quickq win32 64.exe -- [rame-tfe] Backdoor.Nitol!8.E644
   

复制代码

心醉咖啡

金山毒霸扫描miss

秋日之殇

3个样本卡巴执行都杀衍生物

Jerry.Lin

UNknownOoo 发表于 2023-11-21 09:59
火绒
扫描：特征 2X剩下双击：MISS

是我的错觉么……感觉火绒检测率最近略有提升？

UNknownOoo

Jerry.Lin 发表于 2023-11-22 00:15
是我的错觉么……感觉火绒检测率最近略有提升？

也许是错觉...?

hsks

Jerry.Lin 发表于 2023-11-22 00:15
是我的错觉么……感觉火绒检测率最近略有提升？

火绒杀的这两个一个TrojanDropper，出现过很多次了，基本都是相同的套路，加通杀早就加了（
一个Farfli之前向火绒反馈过加入通杀的（其实就是https://bbs.huorong.cn/thread-133071-1-1.html里的同源样本）火绒加了两个特征（还有一个TrojanDownloader.atm）

117054487

实时防护检测到威胁。该文件已被删除。C:\Users\123456\Desktop\官方正版.jpg\quickq win32 64.exe 是恶意软件 Gen:Variant.Kryptik.237
wuyoujm.msi---kill衍生物
实时防护检测到威胁。该文件已被删除。C:\Program Files (x86)\inspection\inspection\inspection.exe 是恶意软件 Gen:Variant.Tedy.371098
易歪歪官方.exe---执行miss

GDHJDSYDH

EIS扫描kill 2x，沙箱内运行安装剩下的一个EIS和KART均miss，成功安装进了沙箱

dght432

360扫描miss all 又是miss，miss都成常态了，绷不住了