18X（12.7）

UNknownOoo

https://wwjw.lanzouq.com/imuYP1h3j0qh

aboringman

天守：



[Inject]електронний запит.exe：未知，无拦截，似乎运行中出错了

[SusLongSleep]pdf查看器.exe：未知，无拦截，我等了一小会后不耐烦直接关闭了

Update：这个我二次跑，放着不管一段时间后好像注入了记事本并且有外联，所以应该是确定防御失败了





[svc]Fake.exe：



2024年个税附加扣除-《补贴企业名单目录》.msi：



version of the project application.chm：



处罚名单.exe：



第三批税费优惠政策推出.exe：寄



发_票_单.exe：



漯河市网上中介服务超市登录后无法使用——洛阳市建设工程咨询有限责任公司.exe：似乎连不上C2



漯河市政务服务和大数据管理局应急演练文档确认表.exe：



双击安装.exe：







总防御成功（肉眼可见的）：14

117054487

BEST 14x /miss 4x
扫描 4x
实时防护检测到威胁。该文件已被删除。C:\Users\123456\Desktop\18X\双击安装.exe 是恶意软件 Gen:Suspicious.Cloud.4.oqW@aWoefUpb
实时防护检测到威胁。该文件已被删除。C:\Users\123456\Desktop\18X\第三批税费优惠政策推出.exe 是恶意软件 Gen:Variant.Babar.409353
HyperDetect 机器学习检测到威胁. 文件已删除。
C:\Users\123456\Desktop\18X\对账单.exe 是恶意软件 Gen:Illusion.Wrangler.Sabr.1.2.1010200
C:\Users\123456\Desktop\18X\发_票_单.exe 是恶意软件 Gen:Illusion.Wrangler.NW.1.2.2010200

执行 10x
实时防护检测到威胁。该文件已被删除。C:\Users\123456\Desktop\18X\查询入口.exe 是恶意软件 Gen:Suspicious.Cloud.2.mq0@aepQa6eS
高级威胁防护阻止了一个恶意进程。进程路径: C:\Users\123456\Desktop\18X\[Inject]електронний запит.exe. 威胁名称: ATC.SuspiciousBehavior.A697B3520DE0A6CB.
高级威胁防护已阻止注入恶意代码的进程。进程路径: C:\Users\123456\Desktop\18X\[svc]Fake.exe. 威胁名称: Gen:Trojan.Beacon.Shellcode.Marte.1.
高级威胁防护阻止了一个恶意进程。进程路径: C:\Users\123456\Desktop\18X\12月份企业补贴名单.exe. 威胁名称: ATC.SuspiciousBehavior.A697B35269FE0698.
2024年个税附加扣除-《补贴企业名单目录》.msi---高级威胁防护已阻止注入恶意代码的进程。进程路径: C:\Windows\Logs\case.exe. 威胁名称: Generic.ShellCode.RDI.Marte.4.6FEF302C.
高级威胁防护已阻止注入恶意代码的进程。进程路径: C:\Users\123456\Desktop\18X\CobaltStrike.exe. 威胁名称: Gen:Trojan.Beacon.Shellcode.Marte.1.
高级威胁防护阻止了一个恶意进程。进程路径: C:\Users\123456\Desktop\18X\svcho1st.exe. 威胁名称: ATC.SuspiciousBehavior.A697B3521F55A8E9.
version of the project application.chm---高级威胁防护阻止了一个恶意进程。进程路径: C:\Windows\System32\cmd.exe. 威胁名称: ATC.SuspiciousBehavior.A697B352300B7E9B.
高级威胁防护阻止了一个恶意进程。进程路径: C:\Users\123456\Desktop\18X\处罚名单.exe. 威胁名称: ATC.SuspiciousBehavior.A697B3524B69BA11.
高级威胁防护阻止了一个恶意进程。进程路径: C:\Users\123456\Desktop\18X\漯河市政务服务和大数据管理局应急演练文档确认表.exe. 威胁名称: ATC.SuspiciousBehavior.A697B352698313FA.

miss 4x
[SusLongSleep]pdf查看器.exe
43.132.211.251_.exe
漯河市网上中介服务超市登录后无法使用——洛阳市建设工程咨询有限责任公司.exe（123.57.36.237）
资料.exe
miss部分的沙盒额外检出 1x
沙盒分析器检测到未知威胁. 文件已被删除。C:\Users\123456\Desktop\18X\资料.exe

UNknownOoo

火绒
扫描：6X

1. 扫描文件：18
   
2. 发现风险：6
   
3. 已处理风险：0
   
4. 病毒详情：
   
5. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\18X\43.132.211.251_.exe, 病毒名：Backdoor/Lotok.ad, 病毒ID：65cc49019be3961f, 处理结果：暂不处理
   
6. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\18X\2024年个税附加扣除-《补贴企业名单目录》.msi >> case.exe_1, 病毒名：Trojan/Generic!20859D5463AC38C6, 病毒ID：20859d5463ac38c6, 处理结果：暂不处理
   
7. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\18X\CobaltStrike.exe, 病毒名：Backdoor/CobaltStrike.t, 病毒ID：7a5c9ba11c1c37f3, 处理结果：暂不处理
   
8. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\18X\处罚名单.exe, 病毒名：Backdoor/Lotok.v, 病毒ID：530b93794ddd6c12, 处理结果：暂不处理
   
9. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\18X\双击安装.exe, 病毒名：Backdoor/Lotok.v, 病毒ID：530b93794ddd6c12, 处理结果：暂不处理
   
10. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\18X\资料.exe, 病毒名：Backdoor/Lotok.v, 病毒ID：530b93794ddd6c12, 处理结果：暂不处理

复制代码

X-Sec
扫描：7X

1. ---------------------
   
2. 2023/12/07 19:07:38 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\18X\2024年个税附加扣除-《补贴企业名单目录》.msi -- [rame-classic] Trojan.MalCert!1.EFEF
   
3. 2023/12/07 19:07:39 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\18X\version of the project application.chm -- [rame-classic] Trojan.MouseJack/HTML!1.BE26
   
4. 2023/12/07 19:07:39 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\18X\[SusLongSleep]pdf查看器.exe -- [rame-classic] Downloader.Agent!1.D184
   
5. 2023/12/07 19:07:40 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\18X\[Inject]електронний запит.exe -- [rame-cloud] Trojan.Leonem!8.15E05
   
6. 2023/12/07 19:07:41 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\18X\对账单.exe -- [rame-rdm.msil2] Malware.Obfus/MSIL@AI.92
   
7. 2023/12/07 19:07:42 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\18X\查询入口.exe -- [rame-cloud] Trojan.Farfli!8.FF
   
8. 2023/12/07 19:07:42 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\18X\资料.exe -- [rame-cloud] Backdoor.Lotok!8.111D5

复制代码

华为乾坤
扫描：2X

我爱你啊啊啊

卡巴斯基剩下6个

123456aaaafsdeg

毒霸安全终端扫描7X

1. 扫描时间：[2023-12-07 20:00:59]
   
2. 扫描用时：[00:00:14]
   
3. 扫描类型：自定义查杀
   
4. 扫描文件总数：55
   
5. 扫描速度：3文件/秒
   
6. 发现威胁：7个
   
7. 清除威胁：7个
   
8. =============================================
   
9. [2023-12-07 20:00:59]
   
10. 威胁：C:\Users\Administrator\Downloads\18X\CobaltStrike.exe
    
11. 类型：Win32.Trojan.CobaltStrike.eux.(kcloud)
    
12. 处理方式：已删除
    
13. 
    
14. [2023-12-07 20:00:59]
    
15. 威胁：C:\Users\Administrator\Downloads\18X\资料.exe
    
16. 类型：Win32.Hack.Lotok.sws.(kcloud)
    
17. 处理方式：已删除
    
18. 
    
19. [2023-12-07 20:00:59]
    
20. 威胁：C:\Users\Administrator\Downloads\18X\svcho1st.exe
    
21. 类型：Win32.Trojan.CobaltStrike.euu.(kcloud)
    
22. 处理方式：已删除
    
23. 
    
24. [2023-12-07 20:00:59]
    
25. 威胁：C:\Users\Administrator\Downloads\18X\查询入口.exe
    
26. 类型：Win32.Troj.Undef.a.(kcloud)
    
27. 处理方式：已删除
    
28. 
    
29. [2023-12-07 20:00:59]
    
30. 威胁：C:\Users\Administrator\Downloads\18X\第三批税费优惠政策推出.exe
    
31. 类型：Win32.Trojan.Antavmu.a.(kcloud)
    
32. 处理方式：已删除
    
33. 
    
34. [2023-12-07 20:00:59]
    
35. 威胁：C:\Users\Administrator\Downloads\18X\发_票_单.exe
    
36. 类型：Win32.HeurC.KVMH008.a.(kcloud)
    
37. 处理方式：已删除
    
38. 
    
39. [2023-12-07 20:00:59]
    
40. 威胁：C:\Users\Administrator\Downloads\18X\12月份企业补贴名单.exe
    
41. 类型：Win32.HeurC.KVMH008.a.(kcloud)
    
42. 处理方式：已删除
    

复制代码

祸兮福所倚

biue

UNknownOoo

aboringman 发表于 2023-12-7 18:33
天守：

[Inject]електронний запит.exe  --- 这个样本正常情况下会注入到explorer.exe的...

aboringman

UNknownOoo 发表于 2023-12-7 22:22
електронний запит.exe  --- 这个样本正常情况下会注入到explorer.exe的...

我看到了Windows Problem Reporting，他确实调起了explorer.exe，但没有持续下去，所以就定成了未知。

猜测是出了问题

https://sandbox.ti.qianxin.com/s ... YxEwsMHa5r8RybxjB1t