龟包 231202 9X (含2X白加黑)

神龟Turmi

你不讲武德白加黑，那我也不讲武德上EDR，告警了就是杀了（满地打滚ing

下载：https://share.weiyun.com/4rm2qI8l
海外分流：https://k00.fr/guibao1202 | password: turtle

WithSecure：



扫描7X 双击DeepGuard0X EDR中等置信度2X 合计9/9

宅zhaio

卡巴解压7x，两个白加黑全漏

心醉咖啡

360

heheda2001

解压杀6，右键扫描清理一个


另外实体机误双击了03，eset只拦截了IP，龟龟有什么头绪吗

hhhq316

蜘蛛

GreatMOLA

DI剩2白加黑，未双击。


铁壳all，俩白加黑都杀dll.

神龟Turmi

heheda2001 发表于 2023-12-2 09:08
解压杀6，右键扫描清理一个

我没仔细看 但是stealc一般都有loader
我抓下来的大概率不是本体
或许那个dll才是本体

UNknownOoo

火绒
扫描：6X

1. 扫描文件：13
   
2. 发现风险：6
   
3. 已处理风险：0
   
4. 病毒详情：
   
5. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\1202\231202-03-Stealc-42c140.exe, 病毒名：TrojanSpy/Stealer.gc, 病毒ID：1899c031229af6ea, 处理结果：暂不处理
   
6. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\1202\231202-04-Redline-c76fa2.exe, 病毒名：TrojanSpy/MSIL.RedLine.v, 病毒ID：fc80c108ba524b97, 处理结果：暂不处理
   
7. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\1202\231202-05-AgentTesla-11812f.exe, 病毒名：TrojanSpy/Agent.ae, 病毒ID：7182995b0f36c985, 处理结果：暂不处理
   
8. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\1202\231202-06-Creal-e13c5e.exe, 病毒名：TrojanSpy/Python.PwStealer.h, 病毒ID：8f764abd607816c0, 处理结果：暂不处理
   
9. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\1202\231202-07-Expiro-020732.exe, 病毒名：Virus/Expiro.q@U, 病毒ID：f9ca53445d898fbf, 处理结果：暂不处理
   
10. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\1202\231202-09-Quasar-e280d7.exe, 病毒名：Backdoor/Quasar.f, 病毒ID：9877dfc918556493, 处理结果：暂不处理
    

复制代码

X-Sec
扫描：7X

1. ---------------------
   
2. 2023/12/02 10:43:21 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1202\231202-04-Redline-c76fa2.exe -- [xave-cloud] Stealer.Generic
   
3. 2023/12/02 10:43:21 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1202\231202-03-Stealc-42c140.exe -- [xave-cloud] Stealer.Generic
   
4. 2023/12/02 10:43:22 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1202\231202-05-AgentTesla-11812f.exe -- [xave-cloud] Spyware.Generic
   
5. 2023/12/02 10:43:23 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1202\231202-08-PureLogs-a9fd09.exe -- [rame-cloud] Ransom.Blocker!8.12A
   
6. 2023/12/02 10:43:23 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1202\231202-06-Creal-e13c5e.exe -- [rame-cloud] Stealer.Agent!8.C2
   
7. 2023/12/02 10:43:23 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1202\231202-09-Quasar-e280d7.exe -- [xave-heur] Heur:Stealer.Generic
   
8. 2023/12/02 10:43:25 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\1202\231202-02-SectopHijack-1c7bfb\webview2loader.dll -- [xave-cloud] Trojan.Generic

复制代码

华为乾坤
扫描：5X

秋日之殇

宅zhaio 发表于 2023-12-2 08:44
卡巴解压7x，两个白加黑全漏

两个执行都可以拦截，一个触发pdm，一个触发网页防护。不过本体不杀。
事件: 已阻止
应用程序: WinGup for Notepad++
用户: DESKTOP-DQJ0HTT\lybing
用户类型: 发起者
组件: 系统监控
结果说明: 已阻止
类型: 木马
名称: PDM:Exploit.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\lybing\Desktop\231202-01-SectopHijack-88f5c9
对象名称: WebCopier.exe.exe
数据库发布日期: 今天，2023/12/2 6:53:00
MD5: 4620F1BA5072F37BDEDF2650C654595D


事件: 检测到先前打开的危险链接
用户: DESKTOP-DQJ0HTT\lybing
用户类型: 发起者
应用程序名称: MSBuild.exe
应用程序路径: C:\Windows\Microsoft.NET\Framework\v4.0.30319
组件: 安全浏览
结果说明: 未处理
类型: 恶意链接
精确度: 确切
威胁级别: 高
对象类型: 网页
对象名称: fmKmDx8F
对象路径: hxxps://pastebin.com/raw
原因: 云保护

hansyu

McAfee 扫描7x
missed 2x白加黑