FakeAPP 9X

hsks

倒是做点新payload啊，不要偷懒搞个新打包msi（
https://www.123pan.com/s/FJUmjv-P8LN.html
https://pan.huang1111.cn/s/15GGUv
https://f.wss.ink/f/d61uc1otm1k
https://cloud.rhinelab.io/s/kR5s6

LSPLDD

BD静态0X

双击

3c87b4316c.msi
-->C:\Users\Administrator\AppData\Roaming\apple\Runlnk.lnk
Heur.BZC.YAX.Linx.15.0CCACA06

Aicoin.exe
-->hxxps://sw-proxy.co.link/

aicoinx64.exe
SuspiciousBehavior.71F2A0B224BA6EBE

jisujiemakuhuduan.exe
-->C:\Users\Default\Desktop\Fe964a67eHTl\yybob\mozglue.dll
Gen:Variant.Zusy.530232

TXQQ9.9.7.20811_x64.exe
-->C:\Users\Default\Desktop\Mh350d6b06LMx\yybob\mozglue.dll
Gen:Variant.Zusy.530232

woyou24166.msi
Gen:Trojan.Heur.JP.eu0@auO2Zdoj

无反应:
59865946.msi
Iineinset.msi
TGsetup-4.14.4-x64.msi

UNknownOoo

火绒
扫描：3X

1. 扫描文件：9
   
2. 发现风险：8
   
3. 已处理风险：0
   
4. 病毒详情：
   
5. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\if\3c87b4316c.msi >> KB >> COMSupport.dll, 病毒名：Backdoor/Ghost.ba, 病毒ID：d3b84ea0d02a7fc4, 处理结果：暂不处理
   
6. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\if\3c87b4316c.msi >> KB >> Application2\COMSupport.dll, 病毒名：Backdoor/Ghost.ba, 病毒ID：d3b84ea0d02a7fc4, 处理结果：暂不处理
   
7. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\if\3c87b4316c.msi >> COMSupport.dll, 病毒名：Backdoor/Ghost.ba, 病毒ID：d3b84ea0d02a7fc4, 处理结果：暂不处理
   
8. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\if\3c87b4316c.msi >> COMSupport.dll_1, 病毒名：Backdoor/Ghost.ba, 病毒ID：d3b84ea0d02a7fc4, 处理结果：暂不处理
   
9. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\if\Iineinset.msi >> a.bat, 病毒名：Trojan/BAT.Starter.at, 病毒ID：060898d156c0c897, 处理结果：暂不处理
   
10. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\if\Iineinset.msi >> vbs, 病毒名：Trojan/Generic!E52496E454DF2CD4, 病毒ID：e52496e454df2cd4, 处理结果：暂不处理
    
11. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\if\woyou24166.msi >> a.bat, 病毒名：Trojan/BAT.Starter.at, 病毒ID：060898d156c0c897, 处理结果：暂不处理
    
12. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\if\woyou24166.msi >> vbs, 病毒名：Trojan/Generic!E52496E454DF2CD4, 病毒ID：e52496e454df2cd4, 处理结果：暂不处理

复制代码

运行：
59865946.msi -> 特征 捉2衍生物

1. 病毒名称：Backdoor/Ghost.ba
   
2. 病毒ID：D3B84EA0D02A7FC4
   
3. 病毒路径：C:\Users\Administrator\AppData\Roaming\TgrmDp\COMSupport.dll
   
4. 
   
5. 病毒名称：Backdoor/Ghost.ba
   
6. 病毒ID：D3B84EA0D02A7FC4
   
7. 病毒路径：C:\Users\Public\Documents\COMSupport.dll
   

复制代码

Aicoin.exe -> 特征 捉衍生物

1. 病毒名称：Backdoor/Lotok.dhk
   
2. 病毒ID：33CEF734E64D96D5
   
3. 病毒路径：C:\Users\Administrator\AppData\Roaming\BProtects\DataState.dll
   

复制代码

aicoinx64.exe -> MISS


jisujiemakuhuduan.exe -> 拉黑衍生物 4X

1. 病毒名称：Trojan/Generic!185D8AEC0DE218FE
   
2. 病毒ID：185D8AEC0DE218FE
   
3. 病毒路径：C:\Users\Default\Desktop\Fe964a67eHTl\yybob\mozglue.dll
   
4. 
   
5. 病毒名称：Trojan/Generic!958A4AF174E0FCD6
   
6. 病毒ID：958A4AF174E0FCD6
   
7. 病毒路径：C:\Users\Default\Desktop\Fe964a67eHTl\yybob\QuickSeeBase.dll
   
8. 
   
9. 病毒名称：Trojan/Generic!762639A95CEBCD8A
   
10. 病毒ID：762639A95CEBCD8A
    
11. 病毒路径：C:\Users\Administrator\AppData\RoamingLocalLows\WPerceptionsimulation\AMPPL\ALGinfo\Run\libexpat.dll
    
12. 
    
13. 病毒名称：Trojan/Generic!EFF526AB0D474D1D
    
14. 病毒ID：EFF526AB0D474D1D
    
15. 病毒路径：C:\Users\Administrator\AppData\RoamingLocalLows\WPerceptionsimulation\AMPPL\ALGinfo\Run\mestat.dll
    

复制代码

TGsetup-4.14.4-x64.msi -> 特征捉衍生物

1. 病毒名称：HVM:TrojanDownloader/Maloader.t
   
2. 病毒ID：A456DEFD96738281
   
3. 病毒路径：C:\Program Files (x86)\setup\tdnnt\byy160a07.exe
   

复制代码

TXQQ9.9.7.20811_x64.exe -> MISS


X-Sec
扫描：4X

1. ---------------------
   
2. 2024/01/17 00:07:55 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\if\59865946.msi -- [rame-classic] Dropper.Agent/MSI!1.F3A6
   
3. 2024/01/17 00:07:56 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\if\3c87b4316c.msi -- [rame-classic] Dropper.Agent/MSI!1.F3A6
   
4. 2024/01/17 00:07:59 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\if\Aicoin.exe -- [xave-cloud] Trojan.Generic
   
5. 2024/01/17 00:08:16 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\if\TGsetup-4.14.4-x64.msi -- [rame-tfe] Trojan.ScarletFlash!8.FB27

复制代码

GDHJDSYDH

EIS扫描kill 2x，KFA扫描剩下的miss all；沙箱内双击运行安装，EIS捕获5x的衍生物，Aicoin.exe安装完毕后进程自退，woyou24166.msi安装后出错自退，KFA全程毫无反应（因为EIS提前击杀了衍生物所以没有触发KFA的主防？）

Baby小尧

卡巴21.16.6.467beta版 扫描kill1x

1、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Win32.Agent.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: COMSupport.dll
对象路径: C:\Users\1\Desktop\if\3c87b4316c.msi//disk1.cab//KB//
对象的 MD5: 4D987B015792B968B3F0E40F69A3420A
原因: 专家分析
数据库发布日期: 昨天，2024/1/16 下午2:23:00
双击1、样本59865946：
事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
应用程序名称: TaskLoad.exe
应用程序路径: C:\Users\Public\Documents
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Win32.Agent.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: ConsysFun.png
对象路径: C:\Users\1\AppData\Roaming
对象的 MD5: 2552FB49D11BEC371741A99863660703
原因: 专家分析
数据库发布日期: 昨天，2024/1/16 下午9:25:00

2、样本Aicoin：miss

3、样本aicoinx64：事件: 检测到恶意对象
应用程序: Aicoin
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
名称: PDM:HackTool.Win32.VBInject.a
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\1\Desktop\if
对象名称: aicoinx64.exe
原因: 行为分析
数据库发布日期: 昨天，2024/1/16 下午9:25:00
MD5: 5EB523C3C50BB49CAE5540FAC40F3EFF

4、样本Iineinset：
事件: 应用程序被放置在受限制组
组件: 入侵防御
威胁级别: 低
对象类型: 应用程序组
对象名称: 低限制
原因: 无法定义信任组

5、样本jisujiemakuhuduan:
事件: 应用程序被放置在受限制组
组件: 入侵防御
威胁级别: 低
对象类型: 应用程序组
对象名称: 低限制
原因: 无法定义信任组


6、样本TGsetup-4.14.4-x64：
事件: 检测到恶意对象
组件: 入侵防御
结果说明: 检测到
类型: 木马
名称: UDS:Trojan-Downloader.Win32.Agent.xybzpe
威胁级别: 高
对象路径: C:\Users\1\Desktop\if\TGsetup-4.14.4-x64.msi//disk1.cab//
对象名称: byy160a07.exe
原因: 云保护
MD5: 95862533DCF6D02ABE0554E3A88383ED


7、样本TXQQ9.9.7.20811_x64：
事件: 应用程序被放置在受限制组
组件: 入侵防御
威胁级别: 低
对象类型: 应用程序组
对象名称: 低限制
原因: 无法定义信任组


8、样本woyou24166：
没找到进程，不知道是否运行了

hansyu

GDHJDSYDH 发表于 2024-1-17 00:24
EIS扫描kill 2x，KFA扫描剩下的miss all；沙箱内双击运行安装，EIS捕获5x的衍生物，Aicoin.exe安装完毕后进 ...

有时候你需要清空沙盒再运行下一个，不然可能就会出现安装报错的情况。
另外安装程序结束后没有自动运行的话，可以手动浏览沙盒来运行，原因未知。

117054487

与2楼相比 BEST检出一个
TGsetup-4.14.4-x64.msi
高级反漏洞利用已阻止进程被漏洞利用以运行恶意代码。进程byy160a07.exe已结束。 威胁名称: Generic.ShellCode.RDI.Marte.4.5F335660

biue

DisaPDB

啥  B  3  6  0

这次怎么出现自解压包了，这么潦草的吗（）
双击：
3c87b4316c.msi


59865946.msi payload是一样的？

aicoinx64.exe 侧载拉黑

祸兮福所倚

Avast|扫描5X|双击1X|合计6X