FakeAPP 4X

显示全部楼层 · 发表于 2024-1-4 23:47:59

本帖最后由 hsks 于 2024-1-5 00:09 编辑

微步发报告了，躲起来避风（bushi）

今天某样本（就是微步分析的用中间域名的那个）久违的没更新（

https://x.threatbook.com/v5/article?threatInfoID=100091
顺便一提，用中间域名的不止这一个（

https://cowtransfer.com/s/f9970b70d88147

https://f.wss.ink/f/d2mbb4veuhk

https://share.weiyun.com/vhJAVOjk
https://www.123pan.com/s/FJUmjv-42LN.html
https://cloud.rhinelab.io/s/YKsJ
https://pan.huang1111.cn/s/EOVXcb

可能有重的...不管了（

话说爱思助手不是刷机工具吗，怎么成黑产工具了（

显示全部楼层 · 发表于 2024-1-4 23:58:26

本帖最后由 UNknownOoo 于 2024-1-5 00:27 编辑

火绒
扫描：2x

扫描文件：4
发现风险：2
已处理风险：0
病毒详情：
风险路径：C:\Users\UnknownOoo\Downloads\FakeAPPs 4X\CS-Potato-stuep.msi >> webr.exe, 病毒名：TrojanDownloader/W64.Agent.bj, 病毒ID：83c2fb188113e7d5, 处理结果：暂不处理
风险路径：C:\Users\UnknownOoo\Downloads\FakeAPPs 4X\wps-win.msi >> _F89F15F9E2C24AEF9F794ADCDEF0770B, 病毒名：Trojan/Fake.ac, 病毒ID：b12282f5448229ec, 处理结果：暂不处理

复制代码

运行：(这两个好像是同源的吧？)
Ywwsetup.msi -> MISS

MeiqiaWinLatest3.6.8.msi -> MISS

X-Sec
扫描：2X

---------------------
2024/01/04 23:57:51 Threat Detected: C:\Users\UnknownOoo\Downloads\FakeAPPs 4X\CS-Potato-stuep.msi -- [rame-tfe] Downloader.Zenlod!8.11663
2024/01/04 23:57:53 Threat Detected: C:\Users\UnknownOoo\Downloads\FakeAPPs 4X\wps-win.msi -- [rame-tfe] Dropper.FlyStudio!8.E96

复制代码

卡巴斯基
扫描：1X

运行：

CS-Potato-stuep.msi：
webr.exe -> PDM:Trojan.Win32.Generic；cmd.exe -> PDM:Trojan.Win32.Generic

MeiqiaWinLatest3.6.8.msi ：
MeiqiaWinLatest3.6.8.msi -> PDM:Trojan.Win32.Generic；msiexec.exe -> PDM:Trojan.Win32.Generic

Ywwsetup.msi：
实时监控反复捉衍生物 {905E1605-3631-488e-92E1-EBxv54w5E2F1}.exe -> HEUR:Trojan.Win32.Agentb.gen
但没有阻断相关进程（内存防护没反应）

显示全部楼层 · 发表于 2024-1-4 23:59:50

UNknownOoo 发表于 2024-1-4 23:58
火绒
扫描：2x
运行ing

xec用的瑞星引擎？

显示全部楼层 · 发表于 2024-1-5 00:02:23

显示全部楼层 · 发表于 2024-1-5 00:06:42

我爱你啊啊啊发表于 2024-1-4 23:59
xec用的瑞星引擎？

是这样的（还下放了部分AI引擎），还有自家的云和启发引擎

显示全部楼层 · 发表于 2024-1-5 00:07:12

UNknownOoo 发表于 2024-1-4 23:58
火绒
扫描：2x
运行：(这两个好像是同源的吧？)Ywwsetup.msi -> MISS

两个应该是同源的，其实昨天的dllhost那个也是的（

显示全部楼层 · 发表于 2024-1-5 00:07:24

我爱你啊啊啊发表于 2024-1-4 23:59
xec用的瑞星引擎？

X-Sec开发者就是瑞星的人

显示全部楼层 · 发表于 2024-1-5 00:34:46

本帖最后由 117054487 于 2024-1-5 00:55 编辑

卡巴 4/4（高级清除）
不过并不会检测黑dll
BEST 3/4（手动重启清除衍生物）

实时防护检测到威胁。C:\Users\123456\Desktop\FakeAPPs 4X\wps-win.msi=>(Embedded CAB)=>_F89F15F9E2C24AEF9F794ADCDEF0770B 是恶意软件 Gen:Variant.Midie.113730

CS-Potato-stuep.msi---(衍生物未清除)
高级威胁防护已开始对恶意进程执行清除操作。进程路径: C:\Users\123456\Desktop\webr.exe. 威胁名称: ATC.SuspiciousBehavior.75879F6726E726D6.

MeiqiaWinLatest3.6.8.msi--- miss
高级威胁防护已开始对恶意进程执行清除操作。进程路径: C:\ProgramData\{9A53D6CA-3CEC-4c50-A411-EBxv09w57A40}\{F6D94BB9-3B66-4f21-BA18-A0xv08w5F46A}\RuntimeBroker.exe. 威胁名称: ATC.SuspiciousBehavior.75879F676D560CB7.
高级威胁防护阻止了一个恶意进程。进程路径: C:\ProgramData\{9A53D6CA-3CEC-4c50-A411-EBxv09w57A40}\{B0370862-9A70-4755-AE75-49xv7Fw54C59}.exe. 威胁名称: ATC.SuspiciousBehavior.75879F6735E01F25.

Ywwsetup.msi---(衍生物未清除)
高级威胁防护已开始对恶意进程执行清除操作。进程路径: C:\ProgramData\{7D647587-0152-40e5-8E55-01xv56w5CC0E}\{580CA85E-872D-4762-BF60-F6xvE9w5C517}.exe. 威胁名称: ATC.SuspiciousBehavior.75879F67530F497E.
实时防护检测到威胁。该文件已被删除。C:\Users\Public\Pictures\900nv\39DKF_19\AliIM.exe 是恶意软件 Trojan.Agent.GHFP
高级威胁防护已开始对恶意进程执行清除操作。进程路径: C:\ProgramData\{7D647587-0152-40e5-8E55-01xv56w5CC0E}\{AC8FB485-235A-4565-A321-CAxvC1w53B5C}\dwm.exe. 威胁名称: ATC.SuspiciousBehavior.75879F6779258896.

显示全部楼层 · 发表于 2024-1-5 00:42:16

swizzer 发表于 2024-1-5 00:07
X-Sec开发者就是瑞星的人

我看官网咋是英文版的

显示全部楼层 · 发表于 2024-1-5 00:42:51

我爱你啊啊啊发表于 2024-1-5 00:42
我看官网咋是英文版的

这两者之间有什么冲突之处吗...

https://bbs.kafan.cn/thread-2257318-1-1.html

[病毒样本] FakeAPP 4X

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源