16X（12.8）

UNknownOoo

https://wwjw.lanzouq.com/izjQb1h6sx2d

yaokai815

金山毒霸kill 11x

PYAS_Security

PYAS 连网+高敏感 Kill 12

dght432

双击杀衍生物（不知道是那个样本的）

aboringman

[可能的环境检测]11-22.exe：未知，跳过

[可能的环境检测]Fake.exe：未知，跳过

2023-12月新发布-财会人员薪资补贴调整新政策所需材料.exe：



2023年11月税务稽查处罚名单（电脑版请务外泄).vbe：



Downloader1.1：有拦截，但漏了（





Downloader1.exe：无法运行



附件5.exe：



公司资料.exe：这个拦截了很多次。。。。。。







咱的驻马店APP运营项目投标异议.exe：疑似连不上C2



总防御成功（肉眼可见）：11

360（Special）

两项权限防护均开启，试一个vbe，结果如下

1. 2023-12-08 21:13:43        [已阻止]          模拟点击Windows资源管理器攻击        防护 1 次
   
2. 详细描述：
   
3. 进程：C:\Windows\System32\wscript.exe
   
4. 动作：模拟点击Windows资源管理器攻击
   
5. 路径：
   
6. 风险文件：C:\Users\Killer\Desktop\16X (2)\2023年11月税务稽查处罚名单（电脑版请务外泄).vbe (6)
   
7. 拦截补充描述：木马通常利用系统进程进行传播感染。如果此进程不是您启动的，请阻止。建议您立即使用360安全卫士木马查杀功能进行全盘扫描。
   
8. 
   
9. 防护信息: AD|101, 1152|30, 30, -1||
   
10. 
    
11. 2023-12-08 21:14:18        [自动阻止]          模拟点击Windows资源管理器攻击        防护 39 次
    
12. 详细描述：
    
13. 进程：C:\Windows\System32\wscript.exe
    
14. 动作：模拟点击Windows资源管理器攻击
    
15. 路径：
    
16. 防护信息: AD|101, 1152|30, -1, -1||

复制代码

结论：有点作用，但不要高兴得太早（

UNknownOoo

火绒
扫描：6X

1. 扫描文件：16
   
2. 发现风险：6
   
3. 已处理风险：0
   
4. 病毒详情：
   
5. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\16X\2023年11月税务稽查处罚名单（电脑版请务外泄).vbe, 病毒名：HEUR:TrojanDownloader/VBS.Agent.ey, 病毒ID：eb004a6d7a91153d, 处理结果：暂不处理
   
6. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\16X\公司资料.exe, 病毒名：Backdoor/Lotok.v, 病毒ID：530b93794ddd6c12, 处理结果：暂不处理
   
7. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\16X\国家税务局2023年11月度税务稽查随机抽查结果名单公示_T18.exe, 病毒名：Backdoor/Lotok.v, 病毒ID：530b93794ddd6c12, 处理结果：暂不处理
   
8. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\16X\2023-12月新发布-财会人员薪资补贴调整新政策所需材料.exe, 病毒名：Backdoor/Lotok.v, 病毒ID：530b93794ddd6c12, 处理结果：暂不处理
   
9. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\16X\[可能的环境检测]11-22.exe, 病毒名：Backdoor/Lotok.ad, 病毒ID：65cc49019be3961f, 处理结果：暂不处理
   
10. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\16X\发_票_单1208.exe >> QQLiveBase.dll, 病毒名：Trojan/Hijack.ax, 病毒ID：11b42673d91925fa, 处理结果：暂不处理

复制代码

X-Sec
扫描：8X

1. ---------------------
   
2. 2023/12/08 18:45:39 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\16X\2023-12月新发布-财会人员薪资补贴调整新政策所需材料.exe -- [xave-cloud] Trojan.Generic
   
3. 2023/12/08 18:45:39 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\16X\120813352.exe -- [xave-cloud] Trojan.Generic
   
4. 2023/12/08 18:45:40 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\16X\Suspect.exe -- [rame-cloud] Trojan.ShellcodeRunner!8.6166
   
5. 2023/12/08 18:45:41 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\16X\[可能的环境检测]11-22.exe -- [xave-heur] Heur:Trojan.Generic.10
   
6. 2023/12/08 18:45:42 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\16X\公司资料.exe -- [xave-cloud] Trojan.Generic
   
7. 2023/12/08 18:45:42 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\16X\[可能的环境检测]申报6571.exe -- [xave-cloud] Trojan.Generic
   
8. 2023/12/08 18:45:43 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\16X\发_票_单1208.exe -- [rame-cloud] Trojan.Agent!8.B1E
   
9. 2023/12/08 18:45:43 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\16X\国家税务局2023年11月度税务稽查随机抽查结果名单公示_T18.exe -- [xave-cloud] Trojan.Generic

复制代码

华为乾坤
扫描：2X

123456aaaafsdeg

yaokai815 发表于 2023-12-8 17:54
金山毒霸kill 7x

安全终端扫描：9X

1. 扫描时间：[2023-12-08 19:07:00]
   
2. 扫描用时：[00:00:13]
   
3. 扫描类型：自定义查杀
   
4. 扫描文件总数：36
   
5. 扫描速度：2文件/秒
   
6. 发现威胁：9个
   
7. 清除威胁：9个
   
8. =============================================
   
9. [2023-12-08 19:07:00]
   
10. 威胁：C:\Users\Administrator\Desktop\新建文件夹 (3)\[可能的环境检测]11-22.exe
    
11. 类型：Win32.Troj.Agent.cks.(kcloud)
    
12. 处理方式：已删除
    
13. 
    
14. [2023-12-08 19:07:00]
    
15. 威胁：C:\Users\Administrator\Desktop\新建文件夹 (3)\公司资料.exe
    
16. 类型：Win32.Hack.Lotok.sxr.(kcloud)
    
17. 处理方式：已删除
    
18. 
    
19. [2023-12-08 19:07:00]
    
20. 威胁：C:\Users\Administrator\Desktop\新建文件夹 (3)\国家税务局2023年11月度税务稽查随机抽查结果名单公示_T18.exe
    
21. 类型：Win32.Hack.Lotok.sxp.(kcloud)
    
22. 处理方式：已删除
    
23. 
    
24. [2023-12-08 19:07:00]
    
25. 威胁：C:\Users\Administrator\Desktop\新建文件夹 (3)\2023-12月新发布-财会人员薪资补贴调整新政策所需材料.exe
    
26. 类型：Win32.Hack.Lotok.gen.(kcloud)
    
27. 处理方式：已删除
    
28. 
    
29. [2023-12-08 19:07:00]
    
30. 威胁：C:\Users\Administrator\Desktop\新建文件夹 (3)\Downloader1.1.exe
    
31. 类型：Win32.HeurC.KVMH008.a.(kcloud)
    
32. 处理方式：已删除
    
33. 
    
34. [2023-12-08 19:07:00]
    
35. 威胁：C:\Users\Administrator\Desktop\新建文件夹 (3)\Suspect.exe
    
36. 类型：Win32.Trojan.HTA.a.(kcloud)
    
37. 处理方式：已删除
    
38. 
    
39. [2023-12-08 19:07:00]
    
40. 威胁：C:\Users\Administrator\Desktop\新建文件夹 (3)\TQPatch.exe
    
41. 类型：Win32.Troj.Undef.a.(kcloud)
    
42. 处理方式：已删除
    
43. 
    
44. [2023-12-08 19:07:00]
    
45. 威胁：C:\Users\Administrator\Desktop\新建文件夹 (3)\发_票_单1208.exe
    
46. 类型：Win32.Trojan.Agent.gen.(kcloud)
    
47. 处理方式：已删除
    
48. 
    
49. [2023-12-08 19:07:00]
    
50. 威胁：C:\Users\Administrator\Desktop\新建文件夹 (3)\附件5.exe
    
51. 类型：Win32.Troj.Agent.cks.(kcloud)
    
52. 处理方式：已删除

复制代码

anthonyqian

ESET 扫描5个

biue

DisaPDB

360 8x

智量 扫描6x

双击

俩注入都没防住（）

c2