收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 #Electron #Stealer
1234下一页
返回列表 发新帖
查看: 2862|回复: 36
收起左侧

[病毒样本] #Electron #Stealer

[复制链接]
swizzer
发表于 2024-1-15 11:16:41 | 显示全部楼层 |阅读模式
本帖最后由 swizzer 于 2024-1-15 14:07 编辑

Mirror 1
Mirror 2

相关链接:
  1. https://t.me/sordeal
复制代码


依然是JS编写的基于Electron的Stealer。主要在游戏社区通过伪装成独立游戏/游戏工具进行传播。(不过类似手段的,最出名的还是Downfall被植入恶意软件那次?)

如果有心,应该会想到去年7-9月份样本区那一批被打了#Electrum tag的Stealer,同样是JS编写+混淆,基于Electron;同样的极低静态检出率。

文件名里的tag之所以是#Nova,因为hacker现在叫NovaSentinel(

@anthonyqian

@Eset小粉絲
回复

举报

UNknownOoo
发表于 2024-1-15 11:25:16 | 显示全部楼层
本帖最后由 UNknownOoo 于 2024-1-15 11:31 编辑

火绒
扫描:特征 1X
  1. 扫描文件:6
  2. 发现风险:1
  3. 已处理风险:0
  4. 病毒详情:
  5. 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\Stealer\#Nova-Nezur.exe >> $PLUGINSDIR\app-64.7z >> System.exe, 病毒名:HEUR:Trojan/W64.FakeMsimg.c, 病毒ID:fbc5947eae68c965, 处理结果:暂不处理
复制代码


X-Sec
扫描:特征 ALL
  1. ---------------------
  2. 2024/01/15 11:24:10 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\Stealer\#Nova-Moyetu_GAME.exe -- [rame-classic] Stealer.NovaSentinel/JS!1.F2BA
  3. 2024/01/15 11:24:13 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\Stealer\#Nova-AORadar.exe -- [rame-classic] Trojan.Obfus/JS!1.F219
  4. 2024/01/15 11:24:13 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\Stealer\#Nova-mythic guardian.exe -- [rame-classic] Stealer.NovaSentinel/JS!1.F2BA
  5. 2024/01/15 11:24:20 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\Stealer\#Nova-Nezur.exe -- [rame-classic] Trojan.Obfus/JS!1.F219
  6. 2024/01/15 11:24:20 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\Stealer\#Nova-Server Clone.exe -- [rame-classic] Trojan.Obfus/JS!1.F219
  7. 2024/01/15 11:24:25 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\Stealer\#Nova-windows.exe -- [rame-classic] Trojan.Obfus/JS!1.F219
复制代码

华为乾坤扫描:MISS ALL

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
swizzer + 1 我爱校园网克劳德

查看全部评分

回复

举报

GDHJDSYDH
发表于 2024-1-15 11:22:23 | 显示全部楼层
本帖最后由 GDHJDSYDH 于 2024-1-15 11:35 编辑

EIS扫描miss all,KFA扫描miss all;沙箱内双击PDM击杀2x,剩下的miss,样本不断地创建cmd进程

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

PYAS_Security
发表于 2024-1-15 11:25:14 | 显示全部楼层
检出率确实低


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Allure361
发表于 2024-1-15 11:39:42 | 显示全部楼层
江民监控kill 1



剩余

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

swizzer
 楼主| 发表于 2024-1-15 11:41:13 | 显示全部楼层
GDHJDSYDH 发表于 2024-1-15 11:22
EIS扫描miss all,KFA扫描miss all;沙箱内双击PDM击杀2x,剩下的miss,样本不断地创建cmd进程

实体机吗?注意保护好浏览器保存的信息。
回复

举报

DisaPDB
发表于 2024-1-15 12:06:19 | 显示全部楼层
360 扫描+双击1x

浏览器被干了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

GDHJDSYDH
发表于 2024-1-15 12:06:56 | 显示全部楼层
本帖最后由 GDHJDSYDH 于 2024-1-15 12:13 编辑
swizzer 发表于 2024-1-15 11:41
实体机吗?注意保护好浏览器保存的信息。

我用的Edge浏览器应该是把个人信息储存在User Data文件夹里,而我这个专门用于测试的沙箱设置了阻止入沙程序对这个目录文件夹的访问

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
swizzer + 1 Steam令牌,Discord token也要注意

查看全部评分

回复

举报

hansyu
发表于 2024-1-15 12:13:12 | 显示全部楼层
GDHJDSYDH 发表于 2024-1-15 11:22
EIS扫描miss all,KFA扫描miss all;沙箱内双击PDM击杀2x,剩下的miss,样本不断地创建cmd进程

前几天在虚拟机沙盒里测这种类型的样本,cmd多到直接把沙盒干崩了,连系统都失去响应。
回复

举报

GDHJDSYDH
发表于 2024-1-15 12:16:53 | 显示全部楼层
hansyu 发表于 2024-1-15 12:13
前几天在虚拟机沙盒里测这种类型的样本,cmd多到直接把沙盒干崩了,连系统都失去响应。

反正cmd到一定数量的时候我就会手动直接一键终止它们
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-18 19:05 , Processed in 0.134501 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表