xworm (2023-12-13)

显示全部楼层 · 发表于 2023-12-13 15:35:55

chrome 下载拦截

显示全部楼层 · 发表于 2023-12-13 15:36:13

本帖最后由嘿嘿不能说于 2023-12-13 18:28 编辑

Avast：0

C2无法连上

显示全部楼层 · 发表于 2023-12-13 15:39:03

显示全部楼层 · 发表于 2023-12-13 15:39:40

卡巴斯基不受信任

显示全部楼层 · 发表于 2023-12-13 15:41:52

360 KILL

显示全部楼层 · 发表于 2023-12-13 15:58:11

通过安恒云沙箱分析，该样本研判结果为中危。
样本文件名为“1.js”，md5为a02a654d51d21da6cee86f96d8384376，是js类型的文件。
该样本被行为风险、流量检测引擎检测出。

该样本存在网络相关信息，需要关注特定的域名、IP、URL等，
样本存在网络访问情况：
URL
http://resutanur.blogspot.com/atom.xml
未知
http://resutanur.blogspot.com/////////////////////atom.xml
未知
域名
resutanur.blogspot.com
未知
IP
199.96.63.163
未知

该样本存在多种行为风险，包括：
* 敏感操作
（复制令牌、查询IE安全设置、创建敏感类型文件、打开服务、打开网页文件、打开已有进程）
* 异常执行
（脚本样本内部再次启动脚本解释器）
* 隐蔽执行
（指定执行策略运行powershell、修改或禁用系统指示器）
* 其他行为
（使用com接口、创建非常小的窗口、独占方式打开文件、查询服务状态或配置）
* 文件操作
（多次遍历文件、映射文件）
* 系统信息获取
（多次获取系统时间、获取系统信息、收集操作系统指纹信息、获取软件路径、收集电脑网卡信息、通过注册表收集计算机名）

样本需要关注一些关键行为：
* 注册表
regedit_set_value
value_type
4
value_index
0
key_path
\REGISTRY\MACHINE\Software\Microsoft\Tracing\powershell_RASAPI32
value_data
0
value_name
EnableFileTracing
* 释放文件
C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\ModuleAnalysisCache
C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

处置建议：
根据上述内容确认行为事件安全性，根据实际情况和要求进行防御监测、清理等操作。
想要进行关键行为分析，网络、进程、文件、事件等具体分析可点击：
分析台

显示全部楼层 · 发表于 2023-12-13 16:09:36

360 云QEX杀
感觉360对于脚本类的毒检出率还是挺高的？

显示全部楼层 · 发表于 2023-12-13 17:33:14

本帖最后由 hhhq316 于 2023-12-14 08:39 编辑

蜘蛛

EMSI扫描Miss

显示全部楼层 · 发表于 2023-12-13 19:45:05

[病毒样本] xworm (2023-12-13)

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源