FakeAPP 20X

hsks

据说我们学校高一放17天（不补课），高三放10天
如果是真的话我们高二放的如果比10天就刀了学校（bushi）

大包警告，今天被推到了不少钓鱼网站
里面一堆iusbmon，Yloux，阿里巴巴白加黑downloader（
测试注意：没看重复payload样本，一些样本可能因环境问题会报错
https://www.123pan.com/s/FJUmjv-NULN.html
https://pan.huang1111.cn/s/lPxyiL
https://f.wss.ink/f/d7rgulxs2jc
链接持续更新

t0kenzero

占个坑
BEST
u1s1 这个servers.exe的白加黑还挺有厉害的

被BD的EDR干沉默了，我决定把最难用的EDR送给BD

Baby小尧

卡巴kill 18x ，miss1x  AIcoin.exe疑似黑dll未加载（算miss？）但VT上卡巴UDS   卡巴opentip上也触发了PDM但是我双击啥的都没反应，反VM虚拟机？


1、事件: 检测到恶意对象用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan-Downloader.Win32.Banload.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: 1.exe
对象路径: C:\Users\1\Desktop\X20X\TXQQ9.9.7.20811_x64.exe//306AC28\FILES.7z//setup腾讯QQ_103352_9510044.exe//
对象的 MD5: 56340354D128EF2E45B7878570ED0529
原因: 机器学习
数据库发布日期: 昨天，2024/1/22 下午7:56:00


2、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: VHO:Backdoor.Win32.Farfli.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: 易翻译_New.exe
对象路径: C:\Users\1\Desktop\X20X
对象的 MD5: C4272439A8BA13BD132117D85496309C
原因: 云保护


3、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Backdoor.Win32.Generic
精确度: 不确切
威胁级别: 高
对象类型: 文件
对象名称: MeiqiaWinLatest_New.exe
对象路径: C:\Users\1\Desktop\X20X
对象的 MD5: A99E4D721BF60E3681EB309CF2D28C5A
原因: 专家分析
数据库发布日期: 昨天，2024/1/22 下午7:56:00


4、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan-Dropper.OLE2.BadUpdate.gen
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: meituxiuxiuyy.msi
对象路径: C:\Users\1\Desktop\X20X
对象的 MD5: 294D409B8C02CC5869D2C70150C83C86
原因: 专家分析
数据库发布日期: 昨天，2024/1/22 下午7:56:00


5、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
名称: UDS:DangerousObject.Multi.Generic
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: quickq-windows.msi
对象路径: C:\Users\1\Desktop\X20X
对象的 MD5: A9E38C30251C9DB123EB971668F84485
原因: 云保护


6、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Backdoor.Win32.Generic
精确度: 不确切
威胁级别: 高
对象类型: 文件
对象名称: ziliao.jpg
对象路径: C:\Users\1\Desktop\X20X\lets[过滤]-latest_New.msi//setup.cab//
对象的 MD5: 8261237903EE6C336F8DCEB8DD7EAB5A
原因: 专家分析
数据库发布日期: 昨天，2024/1/22 下午7:56:00


7、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
应用程序名称: explorer.exe
应用程序路径: C:\Windows
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: Backdoor.Win32.DarkVNC.xd
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: quickq win64.exe
对象路径: C:\Users\1\Desktop\X20X
对象的 MD5: 8754E359ACB020C1E3873A2948233451
原因: 数据库
数据库发布日期: 昨天，2024/1/22 下午7:56:00

8、样本：AMD_WPS-office_win-X64.msi事件: 对象已删除
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
应用程序名称: ssers.exe
应用程序路径: C:\ProgramData
组件: 文件反病毒
结果说明: 已删除
类型: 木马
名称: HEUR:Trojan.Win32.Agentb.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: {E2CDE1E3-194C-428a-91FE-64xvDBw5EDD4}.exe
对象路径: C:\ProgramData\{A80BF983-F80C-4b1b-AAC3-27xv7Ew5D8F7}
对象的 MD5: 217DC98E219A340CB09915244C992A52

9、样本：HelloWorld跨境电商助手-1.5.5.msi
事件: 检测到恶意对象
组件: 入侵防御
结果说明: 检测到
类型: 木马
名称: UDS:Trojan.Win32.DLLhijack.gen
威胁级别: 高
对象路径: C:\Users\1\Desktop\X20X
对象名称: HelloWorld跨境电商助手-1.5.5.msi
原因: 云保护
MD5: 85CC538B35E56E04CDA70AD80554B326


10、样本：jusu极速接码.msi
事件: 检测到恶意对象
组件: 入侵防御
结果说明: 检测到
类型: 木马
名称: UDS:Trojan.Win64.DBadur.gen
威胁级别: 高
对象路径: C:\Users\1\Desktop\X20X\setup.exe//
对象名称: data0002
原因: 云保护
MD5: 50F66C2042BE82904340649E7F582609


11、样本：setup.exe
事件: 检测到恶意对象
组件: 入侵防御
结果说明: 检测到
类型: 木马
名称: UDS:Trojan.Win64.DBadur.gen
威胁级别: 高
对象路径: C:\Users\1\Desktop\X20X\setup.exe//
对象名称: data0005
原因: 云保护
MD5: 50F66C2042BE82904340649E7F582609


12、样本：Setup.msi
事件: 检测到恶意对象
组件: 入侵防御
结果说明: 检测到
类型: 木马
名称: VHO:Trojan.Win32.Antavmu.auiw
威胁级别: 高
对象路径: C:\Users\1\Desktop\X20X\Setup.msi//_68C4AB075FE8C3EB9DE7CDE1587592D3//
对象名称: _27D1722D6EF942E78B1F88B7EA3BD8AF
原因: 云保护
MD5: 720631553C82C34D798050D9004B3864


13、样本：SMS-217a.msi
事件: 对象已删除
组件: 入侵防御
结果说明: 已删除
类型: 广告软件
名称: not-a-virus:UDS:AdWare.OLE2.Alien.gen
威胁级别: 中
对象路径: C:\Users\1\Desktop\X20X
对象名称: SMS-217a.msi
MD5: FDC2D0F858FF270DD1620768FFCB9FD0


14、样本：todesk-setup.msi
事件: 检测到恶意对象
应用程序: Windows® installer
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\1\Desktop\X20X
对象名称: todesk-setup.msi
原因: 行为分析
数据库发布日期: 昨天，2024/1/22 下午7:56:00
MD5: F213CC77B9F938161DA4A1EBB03B7E2B


15、样本：w-p-p64.msi
miss

16、样本：yi-fdsy-f.msi
事件: 检测到恶意对象
应用程序: Sample
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\1\AppData\Roaming\CS-HY\telegram\tdata\emoji
对象名称: dach.exe
原因: 行为分析
数据库发布日期: 昨天，2024/1/22 下午7:56:00
MD5: B813B8EED22981B95BAC807EF90E32F8

17、样本：Youdao-Fanyi-11.2.6.msi
事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
应用程序名称: 4.exe
应用程序路径: C:\Program Files (x86)\默认公司名称\Setup1
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: VHO:Backdoor.Win32.NetWiredRC.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: ml.exe
对象路径: C:\Users\Public\Pictures\ml
对象的 MD5: 577A19BDD1C39E953ADD77C9C975CD25
原因: 云保护

18、样本：接码APP.msi
事件: 检测到恶意对象
应用程序: Windows® installer
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
类型: 木马
名称: PDM:Trojan.Win32.Bazon.a
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\1\Desktop\X20X
对象名称: 接码APP.msi
原因: 行为分析
数据库发布日期: 昨天，2024/1/22 下午7:56:00
MD5: AEB1E8ADF7A9796F8EBC9D4A526E1B68

19、样本：接码Appd.msi
事件: 对象已删除
应用程序: Windows® installer
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 已删除
类型: 木马
名称: PDM:Trojan.Win32.Bazon.a
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\1\Desktop\X20X
对象名称: 接码APP.msi
MD5: AEB1E8ADF7A9796F8EBC9D4A526E1B68


20、样本：AIcoin.exe（miss，但疑似黑dll未加载？）
VT上UDS:Trojan.Win32.Blamon.gen
见附图

GDHJDSYDH

EIS监控+扫描kill 12x，KFA扫描剩下的miss all；沙箱内双击运行安装，EIS捉4x衍生物（清除后恶意脚本运行失败自退），KFA击杀1x+另外1x的俩衍生物

UNknownOoo

火绒
扫描：12X

1. 扫描文件：20
   
2. 发现风险：12
   
3. 已处理风险：12
   
4. 病毒详情：
   
5. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\X20X\meituxiuxiuyy.msi >> iusb3mon.dat, 病毒名：Trojan/Generic!DEF7FD6A00468B96, 病毒ID：def7fd6a00468b96, 处理结果：已处理，删除文件
   
6. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\X20X\quickq-windows.msi, 病毒名：Trojan/Generic!3BC0BF07BBA5F237, 病毒ID：3bc0bf07bba5f237, 处理结果：已处理，删除文件
   
7. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\X20X\quickq win64.exe, 病毒名：TrojanDropper/Agent.pk, 病毒ID：a7d877fca24f595d, 处理结果：已处理，删除文件
   
8. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\X20X\HelloWorld跨境电商助手-1.5.5.msi, 病毒名：Trojan/VBS.Maloader.a, 病毒ID：633dec088cc2d94d, 处理结果：已处理，删除文件
   
9. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\X20X\TXQQ9.9.7.20811_x64.exe, 病毒名：TrojanDropper/Agent.pk, 病毒ID：a7d877fca24f595d, 处理结果：已处理，删除文件
   
10. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\X20X\lets[过滤]-latest_New.msi >> upx.rar, 病毒名：Trojan/Generic!73375DD480EAC669, 病毒ID：73375dd480eac669, 处理结果：已处理，删除文件
    
11. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\X20X\接码APP.msi >> a.bat, 病毒名：Trojan/BAT.Starter.at, 病毒ID：060898d156c0c897, 处理结果：已处理，删除文件
    
12. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\X20X\Setup.msi >> _27D1722D6EF942E78B1F88B7EA3BD8AF, 病毒名：Trojan/Fake.ac, 病毒ID：b12282f5448229ec, 处理结果：已处理，删除文件
    
13. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\X20X\AMD_WPS-office_win-X64.msi, 病毒名：Trojan/VBS.Maloader.a, 病毒ID：633dec088cc2d94d, 处理结果：已处理，删除文件
    
14. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\X20X\w-p-p64.msi >> _D600B5A795804CD894CD69FE5E83C238, 病毒名：Trojan/Fake.ac, 病毒ID：b12282f5448229ec, 处理结果：已处理，删除文件
    
15. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\X20X\Youdao-Fanyi-11.2.6.msi >> bat, 病毒名：Trojan/BAT.Starter.at, 病毒ID：060898d156c0c897, 处理结果：已处理，删除文件
    
16. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\X20X\易翻译_New.exe, 病毒名：Backdoor/Farfli.hc, 病毒ID：dcf0cef112e8e25e, 处理结果：已处理，删除文件

复制代码

运行：
AIcoin.exe -> 特征捉衍生物

1. 病毒名称：Backdoor/Lotok.dhk
   
2. 病毒ID：DF28F314381BADCD
   
3. 病毒路径：C:\Users\Administrator\AppData\Roaming\About\webres.dll
   

复制代码

jusu极速接码.msi -> 特征捉衍生物

1. 病毒名称：HVM:TrojanDownloader/Maloader.t
   
2. 病毒ID：A456DEFD96738281
   
3. 病毒路径：C:\Users\Administrator\AppData\Roaming\meiqia\fkanf.exe

复制代码

MeiqiaWinLatest_New.exe -> 特征捉2衍生物

1. 病毒名称：Backdoor/Farfli.hc
   
2. 病毒ID：DCF0CEF112E8E25E
   
3. 病毒路径：C:\Users\Administrator\AppData\Local\Temp\aut24FC.tmp
   
4. 
   
5. 病毒名称：Backdoor/Farfli.hc
   
6. 病毒ID：DCF0CEF112E8E25E
   
7. 病毒路径：C:\Windows\美洽捆版\美洽.exe
   

复制代码

setup.exe -> MISS


SMS-217a.msi -> 特征捉衍生物

1. 病毒名称：TrojanDownloader/Agent.avq
   
2. 病毒ID：383F0D736218C4CD
   
3. 病毒路径：C:\Users\Administrator\AppData\Roaming\meiqia\fkanf.exe
   

复制代码

todesk-setup.msi -> MISS


yi-fdsy-f.msi -> 主防拦截，特征捉衍生物

1. 病毒名称：TrojanDropper/MalSetup.GE
   
2. 病毒路径：C:\Users\Administrator\AppData\Roaming\CS-HY\telegram\tdata\emoji\dach.exe
   
3. 操作结果：已处理
   
4. 
   
5. 病毒名称：Trojan/Hijack.au
   
6. 病毒ID：8A554E7125CA34BB
   
7. 病毒路径：C:\Users\Public\Pictures\3x8SN\Cbf2Q_f\n
   

复制代码

接码Appd.msi -> 特征 捉衍生物

1. 病毒名称：TrojanDownloader/Agent.avq
   
2. 病毒ID：383F0D736218C4CD
   
3. 病毒路径：C:\Users\Administrator\AppData\Roaming\meiqia\fkanf.exe

复制代码

DisaPDB

。

祸兮福所倚

Avast-扫描8X|双击1X|共计9X

hsks

DisaPDB 发表于 2024-1-23 07:12
。

被警告了草（

DisaPDB

hsks 发表于 2024-1-23 11:55
被警告了草（

攻击性过高了（

biue