FakeAPP 13X

显示全部楼层 · 发表于 2024-1-24 23:33:14

本帖最后由 hsks 于 2024-1-25 11:57 编辑

还是一些熟悉的老朋友

顺便一提，偷钱包的假aicoin至少12月末就出现了（

https://www.123pan.com/s/FJUmjv-klLN.html
https://pan.huang1111.cn/s/y1qkH6
https://cloud.rhinelab.io/s/qx2IP
https://f.wss.ink/f/d8c5ga6x40l
如果msi1217YD.msi和SMS.msi安装报错（找不到Winrar.EXE）请用压缩软件打开msi，打开disk1.cab文件，找到名字为zip的文件，以zip格式打开（1217YD密码是7758523s，SMS是998762s），运行其中的exe

怀疑此系列样本有bug，可能跟环境有关系，在Triage沙箱能正常跑出行为
https://tria.ge/240124-vjm8qaeabm/

显示全部楼层 · 发表于 2024-1-24 23:46:08

本帖最后由 Baby小尧于 2024-1-25 01:04 编辑

卡巴扫描4x，双击9x重新更新了，解决了安装包解压错误问题。clean all

。不愧是AVC2023年年度产品

1、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
应用程序名称: explorer.exe
应用程序路径: C:\Windows
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Win32.Blamon.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: AICoin_ZH.exe
对象路径: C:\Users\1\Desktop\13X(1)
对象的 MD5: 26EED8748458990EEB4E0ABFD7504125
原因: 机器学习
数据库发布日期: 昨天，2024/1/24 下午7:36:00

2、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Win64.Agent.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: data0002
对象路径: C:\Users\1\Desktop\13X(1)\setup.exe//
对象的 MD5: FA362AAFCB5FE4CC708382170B275BFE
原因: 机器学习
数据库发布日期: 昨天，2024/1/24 下午7:36:00

3、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Backdoor.Win32.Agent.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: wyy.exe
对象路径: C:\Users\1\Desktop\13X(1)\i4zhushou7.98.769_Setup.msi//disk1.cab//
对象的 MD5: FE401CB4EEA92D3887541434BD7BB75E
原因: 机器学习
数据库发布日期: 昨天，2024/1/24 下午7:36:00

4、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Backdoor.Win32.Generic
精确度: 不确切
威胁级别: 高
对象类型: 文件
对象名称: ziliao.jpg
对象路径: C:\Users\1\Desktop\13X(1)\signal-中文.msi//setup.cab//
对象的 MD5: B54166E8EFEBA54107290C9CC5B08017
原因: 专家分析
数据库发布日期: 昨天，2024/1/24 下午7:36:00

5、样本：aicoinx64.exe
事件: 检测到恶意对象
应用程序: Setup Application
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
名称: PDM:HackTool.Win32.VBInject.a
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\1\Desktop\13X(1)
对象名称: aicoinx64.exe
原因: 行为分析
数据库发布日期: 昨天，2024/1/24 下午7:36:00
MD5: C4B6BF185560E5CE53A61D647F7BD430

6、样本：CS-HY-A8-bei.msi
事件: 进程已终止
应用程序: Sample
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 已终止
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\1\AppData\Roaming\CS-HY\telegram\tdata\emoji
对象名称: dach.exe
MD5: F32F059CA6DC9F1DF3E57770DE47E0F3

7、样本：msi1217YD.msi
事件: 进程已终止
应用程序: Yloux.exe
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 已终止
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Windows\Runn
对象名称: Yloux.exe
MD5: 8BDAC499F10D231007970D66CCDDB747

8、样本：Potato-beta.msi
事件: 检测到恶意对象
应用程序: Sample
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\1\AppData\Roaming\Potato\plugin
对象名称: webr.exe

9、样本：SMS-217-c.msi
事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
应用程序名称: explorer.exe
应用程序路径: C:\Windows
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: UDS:Trojan.Win32.SelfDel
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: fkanf.exe
对象路径: C:\Users\1\Desktop\新建文件夹\SMS-217-c\disk1\lzp
对象的 MD5: C10ABBC5BC3C443AAC4A0D02B9CCC650
原因: 云保护

10、样本：td-Potato-3.61.msi
事件: 进程已终止
应用程序: Sample
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 已终止
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\1\AppData\Roaming\Potato\plugin
对象名称: webr.exe
MD5: 4228D9657259110017C95186106417B4

11、样本：tgs_ksdjsdhs-5.3.12.msi
事件: 进程已终止
应用程序: Sample
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 已终止
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\1\AppData\Roaming\CS-HY\telegram\tdata\emoji
对象名称: dach.exe
MD5: 2E9AF5E5EE5B5F110E4D8CDA47FF1337

12、样本：todesk-setup.msi
事件: 对象已删除
应用程序: Windows® installer
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 已删除
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\1\Desktop\13X(1)
对象名称: todesk-setup.msi
MD5: F74B764EB94AF9C8743CF2DABD42ACC7

13、样本：TXQQ9.9.7.20811_x64(1).exe
事件: 进程已终止
应用程序: TXQQ9.9.7.20811_x64(1).exe
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 已终止
类型: 木马
名称: PDM:Trojan.Win32.Bazon.a
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\1\Desktop\新建文件夹
对象名称: TXQQ9.9.7.20811_x64(1).exe
MD5: ED5CEFC5BC04D76FE290EF314E471842

显示全部楼层 · 发表于 2024-1-24 23:46:57

本帖最后由 LSPLDD 于 2024-1-25 04:37 编辑

BD

静态1X:

i4zhushou7.98.769_Setup.msi
AIT:Trojan.Nymeria.5664

双击11X:

CS-HY-A8-bei.msi
-->C:\Users\Administrator\AppData\Roaming\CS-HY\telegram\tdata\emoji\dach.exe
Gen:Variant.Lazy.386183

Potato-beta.msi
-->C:\Windows\System32\netsh.exe
SuspiciousBehavior.C6932A9549235F19

td-Potato-3.61.msi
-->C:\Windows\System32\netsh.exe
SuspiciousBehavior.C6932A955B504A06

tgs_ksdjsdhs-5.3.12.msi
-->C:\Users\Administrator\AppData\Roaming\CS-HY\telegram\tdata\emoji\dach.exe
Gen:Variant.Lazy.393350

todesk-setup.msi
-->C:\ProgramData\zcsa\adDownload.dll
Gen:Trojan.Heur.TP.lz9@bCsaJCdb

AICoin_ZH.exe
-->hxxps://sw-proxy.co.link/
線上威脅防護

aicoinx64.exe
-->hxxps://sw-proxy.co.link/
線上威脅防護

setup.exe
-->hxxps://pc.apitelegram.vn/
線上威脅防護

TXQQ9.9.7.20811_x64(1).exe
-->C:\Users\Default\Desktop\Cq43c6698AFv\yybob\HipsdiaMain.dll
Gen:Variant.Fragtor.486835

SMS-217-c.msi
-->C:\Users\ADMINl~1\AppData\Local\Temp\7zO026548C4\fkanf.exe
SuspiciousBehavior.C6932A952A8CD7CB

msi1217YD.msi
-->C:\Users\ADMINI~ 1\AppData\Local\Temp\7zOC25EC6A9\tiak.exe
SuspiciousBehavior.C6932A955F77AAF9

无反应1X:
signal-中文.msi

ESET静态9X:

CS-HY-A8-bei.msi
Win64/Injector.JN

Potato-beta.msi
Win64/Injector.JN

i4zhushou7.98.769_Setup.msi
Win32/Kryptik.HUUR

msi1217YD.msi
Win32/Youdao.C

setup.exe
Win64/Agent.DHY

signal-中文.msi
Win32/Farfli.CNM.Gen

tgs_ksdjsdhs-5.3.12.msi
Win64/Injector.JN

td-Potato-3.61.msi
Win64/Injector.JN

todesk-setup.msi
Win32/Agent.AGEC

双击4X:

AICoin_ZH.exe
-->hxxps://sw-proxy.co.link/
内部黑名单

aicoinx64.exe
-->系统内存 > ActionCenterCPL.exe(4948)
Win32/Spy.Delf.RAD
-->hxxps://sw-proxy.co.link/
内部黑名单

SMS-217-c.msi
-->C:\Users\ADMINI~1\AppData\Local\Temp\7zOCBF5F047\fkanf.exe
Win32/FlyStudio.Packed.AO

TXQQ9.9.7.20811_x64(1).exe
-->C:\Users\Default\Desktop\Cq43c6698AFv\yybob\HipsdiaMain.dll
Win32/Kryptik.HCAH

无反应0X

显示全部楼层 · 发表于 2024-1-24 23:48:41

本帖最后由 Fadouse 于 2024-1-25 07:59 编辑

EIS 1x

显示全部楼层 · 发表于 2024-1-24 23:54:00

Fadouse 发表于 2024-1-24 23:48
EIS占个位

fake app，只扫不双击还不如直接上传VT。当然你实体机也别作死双击

显示全部楼层 · 发表于 2024-1-24 23:57:17

Baby小尧发表于 2024-1-24 23:54
fake app，只扫不双击还不如直接上传VT。当然你实体机也别作死双击

隔离沙箱也不行吗？

显示全部楼层 · 发表于 2024-1-25 00:05:35

huang盘出错了，现在把123盘传好了

显示全部楼层 · 发表于 2024-1-25 00:08:09

Fadouse 发表于 2024-1-24 23:57
隔离沙箱也不行吗？

可以的，设置沙箱把敏感数据保护好，一般情况下都不会有事。

显示全部楼层 · 发表于 2024-1-25 00:25:40

Baby小尧发表于 2024-1-24 23:46
占楼卡巴

传好3个盘了

显示全部楼层 · 发表于 2024-1-25 00:46:44

[病毒样本] FakeAPP 13X

本帖子中包含更多资源

评分

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源