FakeAPP 16X（开）

hsks

一堆没做免杀的（
还有一堆新打包msi捆绑老payload的（
无所谓，能过某些杀软就行了（

https://www.123pan.com/s/FJUmjv-SrLN.html
https://pan.huang1111.cn/s/P4EZhm

Baby小尧

卡巴21.16.6.467beta版 扫描清除15x（包含衍生物），剩余1x等待双击，双击未拦截，样本为：接码-安装包   有两个样本是我个人失误，后续补充的14、15条的内容是动用之前断网锁库的快照测试的，可以保证准确性，我的失误，谢谢大家的指正！

1、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Win32.DLLhijack.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: COMSupport.dll
对象路径: C:\Users\1\Desktop\inf16X\6863df78.exe//3139802\FILES.7z//
对象的 MD5: B886CC8C47CB2F44CC7F0569C178A033
原因: 机器学习
数据库发布日期: 昨天，2024/1/15 下午6:53:00

2、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: UDS:Trojan.Win64.Kryptik.a
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: WWStartupCtrl64.dll
对象路径: C:\Users\1\Desktop\inf16X\Flyxxx.msi//disk1.cab//
对象的 MD5: 05E21A8A8EDF4D5100D730D04470C952
原因: 云保护

3、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Backdoor.Win32.Lotok.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: installintliu.exe
对象路径: C:\Users\1\Desktop\inf16X\kinwspof.msi//disk1.cab//
对象的 MD5: B31B524B78DEFD406A18506A911333A4
原因: 机器学习
数据库发布日期: 昨天，2024/1/15 下午6:53:00

4、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Win32.DLLhijack.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: COMSupport.dll
对象路径: C:\Users\1\Desktop\inf16X\eyy-win64-2.exe//D839376\FILES.7z//
对象的 MD5: B886CC8C47CB2F44CC7F0569C178A033
原因: 机器学习
数据库发布日期: 昨天，2024/1/15 下午6:53:00

5、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan-Dropper.OLE2.BadUpdate.gen
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: Lets-xxx.msi
对象路径: C:\Users\1\Desktop\inf16X
对象的 MD5: 71E169B47E291D86D6A9A0C2AE237E08
原因: 专家分析
数据库发布日期: 昨天，2024/1/15 下午6:53:00

6、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Win32.Blamon.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: DataState.dll
对象路径: C:\Users\1\Desktop\inf16X\Aicoin.exe//setup-us1.cab//
对象的 MD5: 23F2E2381998040E907B9C98705EE498
原因: 机器学习
数据库发布日期: 昨天，2024/1/15 下午6:53:00

7、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Win32.DLLhijack.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: COMSupport.dll
对象路径: C:\Users\1\Desktop\inf16X\HelloWorld跨境电商助手-1.5.5.exe//88030DF\FILES.7z//
对象的 MD5: B886CC8C47CB2F44CC7F0569C178A033
原因: 机器学习
数据库发布日期: 昨天，2024/1/15 下午6:53:00

8、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Win32.Kryptik.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: inspectionxa.exe
对象路径: C:\Users\1\Desktop\inf16X\kugou-2024.msi//disk1.cab//
对象的 MD5: C432761F0FC535B463DD91358DDCBE67
原因: 专家分析
数据库发布日期: 昨天，2024/1/15 下午6:53:00

9、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
名称: UDS:DangerousObject.Multi.Generic
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: ziliao.jpg
对象路径: C:\Users\1\Desktop\inf16X\meituxiuxiuyy.msi//setup.cab//
对象的 MD5: 93997542FEA658980C921345A0193DAF
原因: 云保护

10、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Backdoor.Win32.Agent.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: LineInstt.exe
对象路径: C:\Users\1\Desktop\inf16X\LineInst.msi//disk1.cab//
对象的 MD5: A1A704BB7CAA5CF38E9A647B5483B0D1
原因: 机器学习
数据库发布日期: 昨天，2024/1/15 下午6:53:00

11、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan-Dropper.Win32.Agent.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: qui.exe
对象路径: C:\Users\1\Desktop\inf16X\quickq win64.msi//disk1.cab//
对象的 MD5: AC9D48AF592B2D687348D76A50FDF639
原因: 机器学习
数据库发布日期: 昨天，2024/1/15 下午6:53:00

12、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Win32.Kryptik.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: xiuxiu.exe
对象路径: C:\Users\1\Desktop\inf16X\xiuxiu64_-setup.msi//disk1.cab//
对象的 MD5: 17F34CC98F9A6C1B68D58466B757140C
原因: 机器学习
数据库发布日期: 昨天，2024/1/15 下午6:53:00

13、事件: 检测到恶意对象用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Win32.Agent.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: COMSupport.dll
对象路径: C:\Users\1\Desktop\inf16X\359859dq9.exe//DD716AF\FILES.7z//PublicDocumentsFolder/KB//
对象的 MD5: 4D987B015792B968B3F0E40F69A3420A
原因: 专家分析
数据库发布日期: 昨天，2024/1/15 下午6:53:00
14、jisujiemakuhuduan.exe
事件: 对象已删除
用户: DESKTOP-BKV5U3Q\Administrator
用户类型: 发起者
应用程序名称: 2f9057d862f94d3fEOJ.exe
应用程序路径: C:\Program Files (x86)
组件: 文件反病毒
结果说明: 已删除
类型: 木马
名称: HEUR:Backdoor.Win32.Generic
精确度: 不确切
威胁级别: 高
对象类型: 文件
对象名称: vnetlib32
对象路径: C:\Users\Administrator\AppData\RoamingLocalLows\WPerceptionsimulation\AMPPL\ALGinfo\Run
对象的 MD5: F13BC7C4AE11D84347E36FCE1B2EE2F8

15、shurufa-setup.exe
事件: 对象已删除
用户: DESKTOP-BKV5U3Q\Administrator
用户类型: 发起者
应用程序名称: 2f9057d862f94d3fEOJ.exe
应用程序路径: C:\Program Files (x86)
组件: 文件反病毒
结果说明: 已删除
类型: 广告软件
名称: not-a-virus:AdWare.Win32.SoftcnApp.fx
精确度: 确切
威胁级别: 中
对象类型: 文件
对象名称: Lnnloader.exe
对象路径: C:\Users\Administrator\AppData\RoamingLocalLows\WPerceptionsimulation\AMPPL\ALGinfo\Run
对象的 MD5: DFEE4C679663FFB566A7150BBC1768C7

UNknownOoo

火绒
扫描：13X

1. 扫描文件：16
   
2. 发现风险：13
   
3. 已处理风险：0
   
4. 病毒详情：
   
5. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\inf16X\6863df78.exe, 病毒名：TrojanDropper/Agent.pk, 病毒ID：a7d877fca24f595d, 处理结果：暂不处理
   
6. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\inf16X\359859dq9.exe, 病毒名：TrojanDropper/Agent.pk, 病毒ID：a7d877fca24f595d, 处理结果：暂不处理
   
7. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\inf16X\eyy-win64-2.exe, 病毒名：TrojanDropper/Agent.pk, 病毒ID：a7d877fca24f595d, 处理结果：暂不处理
   
8. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\inf16X\Fly[过滤].msi >> WWStartupCtrl64.dll, 病毒名：Backdoor/Lotok.dhk, 病毒ID：41f59e09e9a85a58, 处理结果：暂不处理
   
9. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\inf16X\HelloWorld跨境电商助手-1.5.5.exe, 病毒名：TrojanDropper/Agent.pk, 病毒ID：a7d877fca24f595d, 处理结果：暂不处理
   
10. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\inf16X\kinwspof.msi >> installintliu.exe, 病毒名：Backdoor/Lotok.w, 病毒ID：d4e76df9065a4b6e, 处理结果：暂不处理
    
11. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\inf16X\kugou-2024.msi >> inspectionxa.exe, 病毒名：Backdoor/Lotok.w, 病毒ID：d4e76df9065a4b6e, 处理结果：暂不处理
    
12. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\inf16X\Lets-[过滤].msi >> tr_ul.dat, 病毒名：Trojan/Generic!DEF7FD6A00468B96, 病毒ID：def7fd6a00468b96, 处理结果：暂不处理
    
13. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\inf16X\LineInst.msi >> LineInstt.exe, 病毒名：Trojan/Generic!CBB1DF0EE8EF62DD, 病毒ID：cbb1df0ee8ef62dd, 处理结果：暂不处理
    
14. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\inf16X\meituxiuxiuyy.msi >> upx.rar, 病毒名：Trojan/Generic!73375DD480EAC669, 病毒ID：73375dd480eac669, 处理结果：暂不处理
    
15. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\inf16X\quickq win64.msi >> qui.exe, 病毒名：TrojanDownloader/W64.Agent.bj, 病毒ID：87e510e4223d8477, 处理结果：暂不处理
    
16. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\inf16X\xiuxiu64_-setup.msi >> xiuxiu.exe, 病毒名：Trojan/Generic!AB00912EC1748386, 病毒ID：ab00912ec1748386, 处理结果：暂不处理
    
17. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\inf16X\接码-安装包.exe, 病毒名：TrojanSpy/ClipBanker.x, 病毒ID：aaa8c189272e341a, 处理结果：暂不处理

复制代码

运行：
Aicoin.exe -> 特征 捉衍生物

1. 病毒名称：Backdoor/Lotok.dhk
   
2. 病毒ID：33CEF734E64D96D5
   
3. 病毒路径：C:\Users\Administrator\AppData\Roaming\BProtects\DataState.dll
   

复制代码

jisujiemakuhuduan.exe -> MISS


shurufa-setup.exe -> MISS


X-Sec
扫描：4X

1. ---------------------
   
2. 2024/01/16 00:39:16 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\inf16X\359859dq9.exe -- [rame-tfe] Backdoor.Nitol!8.E644
   
3. 2024/01/16 00:39:18 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\inf16X\Aicoin.exe -- [xave-cloud] Trojan.Generic
   
4. 2024/01/16 00:39:45 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\inf16X\eyy-win64-2.exe -- [xave-cloud] Trojan.Generic
   
5. 2024/01/16 00:41:15 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\inf16X\接码-安装包.exe -- [xave-cloud] Trojan.Generic

复制代码

hsks

UNknownOoo 发表于 2024-1-16 00:46
火绒
扫描：13X运行ing...

猜猜我说的没做免杀指没做哪个杀软的免杀.jpg

LSPLDD

BD

静态3X

eyy-win64-2.exe
Gen:Variant.Kryptik.237

HelloWorld跨境电商助手-1.5.5.exe
Gen:Variant.Kryptik.237

xiuxiu64_-setup.msi
AIT:Trojan.Nymeria.5664

双击11X:

6863df78.exe
-->C:\Users\Administrator\AppData\Roaming\Potatodesktop\Potatodesktop 11.21.2\install\3139802\COMSupport.dll
-->C:\Users\Administrator\AppData\Roaming\Potatodesktop\Potatodesktop 11.21.2\install\3139802\PublicDocumentsFolder\COMSupport.dll
Gen:Variant.Babar.426775

359859dq9.exe
-->C:\Users\Administrator\AppData\Roaming\Telegrm Desktop 中文版\COMSupport.dll
-->C:\Users\Public\Documents\COMSupport.dll
Gen:Variant.Babar.426775

Aicoin.exe
-->hxxps://sw-proxy.co.link/
頁面已偵測到可疑活動

jisujiemakuhuduan.exe
-->C:\Users\Default\Desktop\Fme7c39843RRb\yybob\mozglue.dll
Gen:Variant.Zusy.53023

kinwspof.msi
-->C:\Program Files (x86)\lu-WpsInstall-\lu-WpsInstall-\installintliu.exe
Gen:Variant.Midie.141195

kugou-2024.msi
-->C:\Program Files (x86)\您的公司\xa-KUGOU\inspectionxa.exe
Gen:Suspicious.Cloud.8.@t2@aKLTc3ob

Lets-不可说.msi
-->hxxps://cacek.despacito5.com/
危險頁面
--> C:\Program Files (x86)\NetSarangX\tr_ul.exe
偵測到潛在惡意行為並封鎖相關應用程式

LineInst.msi
PowerShell 試圖載入偵測為 Heur.BZC.ZFV.Boxter.841.20234222 並被封鎖的惡意資源

quickq win64.msi
-->C:\ProgramData\es36C\Wv0S9@6\tblive.exe
SuspiciousBehavior.71F2A0B277D6F4E6

shurufa-setup.exe
-->C:\Users\Default\Desktop\365439e49cda9950kcj\yybob\mozglue.dll
Gen:Variant.Zusy.530232

接码-安装包.exe
-->BD日志BUG无法统计
已被偵測為可能是惡意程式並遭到封鎖

无反应2X:
Fly不可说.msi
meituxiuxiuyy.msi

秋日之殇

Baby小尧 发表于 2024-1-16 00:35
卡巴21.16.6.467beta版 扫描清除13x，剩余3x等待双击，双击未拦截，样本分别为：jisujiemakuhuduan、shuruf ...

你没有跑起来吧，前两个释放的衍生物卡巴启发杀了

117054487

BEST结果与五楼基本一致，无额外检出

GDHJDSYDH

EIS扫描11x，剩下的KFA扫描补漏4x，沙箱内双击PDM击杀最后1x

LSPLDD

117054487 发表于 2024-1-16 01:44
BEST结果与五楼基本一致，无额外检出

排查的时候发现漏记一个

jisujiemakuhuduan.exe
-->C:\Users\Default\Desktop\Fme7c39843RRb\yybob\mozglue.dll
Gen:Variant.Zusy.53023

117054487

LSPLDD 发表于 2024-1-16 02:21
排查的时候发现漏记一个

是 就差这一个 剩下俩BEST也没反应