龟包 231218 11X

显示全部楼层 · 发表于 2023-12-18 08:42:28

本帖最后由神龟Turmi 于 2023-12-18 08:54 编辑

S1脸都不要了！Panda输完输火绒，再输Drweb，接下来没人输了！

下载：https://share.weiyun.com/gWpjNmik
海外分流：https://k00.fr/guibao1218 | password: turtle

SentinelOne：
备注：23.3 EA2 测试版

扫描6X 双击主防1X 合计7/11 （MISS 02 03 06 10）

WatchGuard（Panda企业版）：

扫描4X 双击AE4X 合计8/11 （MISS 03 06 07）

显示全部楼层 · 发表于 2023-12-18 08:48:55

蜘蛛

EMSI

显示全部楼层 · 发表于 2023-12-18 08:50:10

本帖最后由 z614606517 于 2023-12-18 08:59 编辑

小红伞剩余加双击

显示全部楼层 · 发表于 2023-12-18 08:50:20

本帖最后由 t0kenzero 于 2023-12-18 09:29 编辑

DI 9X

ps脚本默认禁止没法测（

SEP 8X

Cylance 10X

CP 10X

显示全部楼层 · 发表于 2023-12-18 09:05:41

f-secure miss 03,06

显示全部楼层 · 发表于 2023-12-18 09:10:41

本帖最后由 GDHJDSYDH 于 2023-12-18 09:14 编辑

EIS解压击杀剩余一个ps1文件，Lumma文件夹里的Setup.exe被击杀，KFA扫描剩余的miss；沙箱内双击ps1后，EIS阻止

显示全部楼层 · 发表于 2023-12-18 09:18:39

GDHJDSYDH 发表于 2023-12-18 09:10
EIS解压击杀剩余一个ps1文件，Lumma文件夹里的Setup.exe被击杀，KFA扫描剩余的miss；沙箱内双击ps1后，EIS ...

有一说一 ESET在这一步拦了下载应该算是误报。。。
这个样本是把dll改成图片和pdf后缀上传的合法图床等的域名
截图里拦截的是完美世界PVP对战平台的域名。。。

显示全部楼层 · 发表于 2023-12-18 09:24:25

神龟Turmi 发表于 2023-12-18 09:18
有一说一 ESET在这一步拦了下载应该算是误报。。。
这个样本是把dll改成图片和pdf后缀上传的合法图床等 ...

所以说这个样本的主要行为是窃取steam账号吗？ESET是否成功防御？

从沙箱通知来看其与WMI服务相关的行为失败了（尝试持久化？），还有卡巴全程非常安静，PDM毫无动静

显示全部楼层 · 发表于 2023-12-18 09:26:57

GDHJDSYDH 发表于 2023-12-18 09:24
所以说这个样本的主要行为是窃取steam账号吗？ESET是否成功防御？从沙箱通知来看其与WMI服务相关的 ...

这个家族主要是注入dll和修改steam的vdf实现假入库
概率附带盗号
（我不可能真的找个Steam账号看它盗没盗所以我没法确定今天的这两个有没有盗号行为）
假如没有盗号行为的话应该算Hacktool 假如有的话应该算Stealer

显示全部楼层 · 发表于 2023-12-18 09:51:34

本帖最后由 GDHJDSYDH 于 2023-12-18 09:52 编辑

神龟Turmi 发表于 2023-12-18 09:26
这个家族主要是注入dll和修改steam的vdf实现假入库
概率附带盗号
（我不可能真的找个Steam账号看它盗没 ...

微步+VT无检出

https://www.virustotal.com/gui/f ... ba32a941e/detection
https://s.threatbook.com/report/ ... 6fd764ee37ba32a941e

[病毒样本] 龟包 231218 11X

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块