FakeAPP 7X

hsks

https://f.ws59.cn/f/cw21138599d

https://www.123pan.com/s/FJUmjv-Q1LN.html
https://share.weiyun.com/LLKSmFgi

乱套了.jpg

神龟Turmi

CS：

都是msi crowdstrike的这个kill chain直接乱套了。。。
可以确认的是本地机学1X 主防1X 上述msiexec执行的衍生物有被杀，但我无法区分具体杀了几个了
大概数了一下应该是3个或者4个来自不同tmp的
宿主机wireshark抓到外连确认有miss
暂定5/7或6/7

Hibike

智量 4/7

GDHJDSYDH

EIS kill 6x，KFA补漏 1x，一共7x

Baby小尧

ESET kill 6x，剩余1X双击cmd运行失败

biue

dght432

类型:包含木马的压缩包文件
描述:包含至少 1 个木马程序
disk1.cab=>anew2.vmp.exe : HEUR/QVM19.1.F35A.Malware.Gen

扫描引擎:云特征引擎
位置:D:\360安全浏览器下载\FakeAPP 7XX\miduokelo.msi
处理建议:隔离文件

嘿嘿不能说

Avast：

1. 2023/12/13 11:36:56        C:\Users\Killer\Desktop\FakeAPP 7XX\Anydesk中文安装包.msi|>Binary.desk.exe [L] Win32:RATX-gen [Trj] (0)
   
2. 文件已成功移至隔离区...
   
3. 2023/12/13 11:37:05        C:\Users\Killer\Desktop\FakeAPP 7XX\W-P-S64.8aOffice.exe [L] Win32:Malware-gen (0)
   
4. 文件已成功移至隔离区...
   
5. C:\Users\Killer\Desktop\FakeAPP 7XX\eyy-32x64.msi|>disk1.cab|>COMSupport.dll [L] Win32:MalwareX-gen [Trj] (0)
   
6. C:\Users\Killer\Desktop\FakeAPP 7XX\eyy-32x64.msi|>disk1.cab|>COMSupport.dll_1 [L] Win32:MalwareX-gen [Trj] (0)
   
7. C:\Users\Killer\Desktop\FakeAPP 7XX\TH-desktop.msi|>disk1.cab|>dac.exe [L] Win64:Evo-gen [Trj] (0)
   
8. C:\Users\Killer\Desktop\FakeAPP 7XX\TH-desktop.msi|>Binary.dac.exe [L] Win64:Evo-gen [Trj] (0)
   
9. C:\Users\Killer\Desktop\FakeAPP 7XX\W-P-S64.8aOffice.exe [L] Win32:Malware-gen (0)
   
10. C:\Users\Killer\Desktop\FakeAPP 7XX\miduokelo.msi|>disk1.cab|>anew2.vmp.exe [L] Win32:DropperX-gen [Drp] (0)

复制代码

Alsi4tool.msi：击杀1衍生物



win32-quickq-e1.msi：这个一开始是放过去了，远控都已经启动了。。。。。。但是CC最终检测到qui.exe有问题之后Avast把衍生物给扬了（ 留下了一个黑dll（ ）

DisaPDB

360 emptied

TimelessTT

趋势
扫描 0
双击额......阻止url 1x、终止进程 1x、主防干掉 3x衍生物，本体完好，看内容应该是阻止了2-3个

咖啡R53
扫描0 （扫了五分钟）
双击kill exe，其余miss