收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 FakeAPP 7X
12下一页
返回列表 发新帖
查看: 2421|回复: 16
收起左侧

[病毒样本] FakeAPP 7X

[复制链接]
hsks
发表于 2024-1-26 23:53:11 | 显示全部楼层 |阅读模式
本帖最后由 hsks 于 2024-1-27 00:03 编辑

今天没多少新鲜样本,有些剔除掉的样本直接拿昨天的Taskload白加黑黑dll重新打包个新msi(

https://pan.huang1111.cn/s/WgXVT3
https://www.123pan.com/s/FJUmjv-77LN.html
https://f.wss.ink/f/d8wiilbwe0p
https://cloud.rhinelab.io/s/v2msj

测试/上报钓鱼网站请转至:https://bbs.kafan.cn/thread-2265436-1-1.html


jiema.msi的zip密码为169

回复

举报

Baby小尧
发表于 2024-1-26 23:54:08 | 显示全部楼层
本帖最后由 Baby小尧 于 2024-1-27 00:37 编辑

红伞扫描kill 1x 双击kill 4x 总计5x

1、样本:dfcft88.exe kill


2、样本:jiemaAPm.msi 手动解包后kill


3、样本:Letsxxx.msi  


4、样本:mail8.exe  kill

5、样本:quickq6-4.msi  


6、样本:TD-Potato-19.2.5.msi  kill

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

LSPLDD
发表于 2024-1-26 23:54:42 | 显示全部楼层
本帖最后由 LSPLDD 于 2024-1-27 01:30 编辑

BD扫描0X 双击6X:

CloudChatAPK.exe
-->C:\Windows\SysWOW64\rundll32.exe
Atc杀,由于27.0.27.128版本倒车更新,BD日志BUG回归!无法统计

dfcft88.exe
-->C:\ProgramData\Microsoft\adDownload.dll
Gen:Variant.Lazy.465946

Lets不可说.msi
-->C:\Program Files (x86)\NetSarangX\tr_ul.exe
Atc杀,由于27.0.27.128版本倒车更新,BD日志BUG回归!无法统计

mail8.exe
-->C:\Users\Default\Desktop\Tu0e24f8aKRm\yybob\HipsdiaMain.dll
Gen:Variant.Fragtor.486835

TD-Potato-19.2.5.msi
-->C:\Users\Administrator\AppData\Roaming\Potato\plugin\webr.exe
Gen:Variant.Lazy.380541

jiemaAPm.msi(手动解包)
-->C:\Users\Administrator\AppData\Local\Temp\7zOC777F20E\skpe.exe
SuspiciousBehavior.2FAA4B146FE0F312

无反应1X:
quickq6-4.msi





ESET静态5X:

TD-Potato-19.2.5.msi
Win64/Injector.JN

dfcft88.exe
Win32/Agent.AGEC

quickq6-4.msi
Win32/Agent.ACHV_AGen.A

CloudChatAPK.exe
Win32/Packed.NoobyProtect.G

jiemaAPm.msi(手动解包)
-->C:\Users\ADMINI~1\AppData\Local\Temp\7zO44215D59\skpe.exe
Win32/Packed.VMProtect.ACR

双击1X:

mail8.exe
-->C:\Users\Default\Desktop\Tu0e24f8aKRm\yybob\HipsdiaMain.dll
Win32/Kryptik.HCAH

无反应1X:
Lets不可说.msi

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

t0kenzero
发表于 2024-1-26 23:59:18 | 显示全部楼层
本帖最后由 t0kenzero 于 2024-1-27 00:14 编辑

S1 7X
jiemaAPm 日常没法运行


手动拆包 kill




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

秋日之殇
发表于 2024-1-27 00:14:27 | 显示全部楼层
本帖最后由 秋日之殇 于 2024-1-27 00:46 编辑

卡巴扫描3个,执行剩余清空。
1、Lets[过滤].msi
事件: 检测到恶意对象
用户: DESKTOP-DQJ0HTT\lybing
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan-Dropper.OLE2.BadUpdate.gen
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: Lets[过滤].msi
对象路径: C:\Users\lybing\Desktop\7777
对象的 MD5: D2F9D3578543902DAF0927181E94BC87
原因: 专家分析
数据库发布日期: 昨天,2024/1/26 21:33:00

2、dfcft88.exe
事件: 检测到恶意对象
用户: DESKTOP-DQJ0HTT\lybing
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: Trojan.Win32.DLLhijack.bkb
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: adDownload.dll
对象路径: C:\Users\lybing\Desktop\7777\dfcft88.exe// ??.cab//
对象的 MD5: 03F2C0A40A3040FA0E3614D76518B54D
原因: 数据库
数据库发布日期: 昨天,2024/1/26 21:33:00

3、quickq6-4.msi/
事件: 检测到恶意对象
用户: DESKTOP-DQJ0HTT\lybing
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Win32.Agentb.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: COMSupport.dll_1
对象路径: C:\Users\lybing\Desktop\7777\quickq6-4.msi//disk1.cab//
对象的 MD5: 6BE27E97E439587A6399CEE2F113E37B
原因: 机器学习
数据库发布日期: 昨天,2024/1/26 21:33:00

4、mail8.exe
事件: 检测到恶意对象
应用程序: mail8.exe
用户: DESKTOP-DQJ0HTT\lybing
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\lybing\Desktop\7777
对象名称: mail8.exe
原因: 行为分析
数据库发布日期: 昨天,2024/1/26 21:33:00
MD5: 98455CEB5248F95B2044F2CBC19F71A7

5、CloudChatAPK.exe
事件: 检测到恶意对象
应用程序: CloudChat Desktop Setup
用户: DESKTOP-DQJ0HTT\lybing
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\lybing\Desktop\7777
对象名称: CloudChatAPK.exe
原因: 行为分析
数据库发布日期: 昨天,2024/1/26 21:33:00
MD5: 75AC45442198987745D58698EA8A9D1C

6、jiemaAPm
事件: 检测到恶意对象
用户: DESKTOP-DQJ0HTT\lybing
用户类型: 发起者
应用程序名称: explorer.exe
应用程序路径: C:\Windows
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: UDS:Backdoor.Win32.Xkcp.ds
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: skpe.exe
对象路径: C:\Users\lybing\Desktop\7777\jiemaAPm\disk1
对象的 MD5: 7A3B5B74C2EBF49A4896B3E1F723F95F
原因: 云保护
7、TD-Potato-19.2.5.msi
事件: 进程已终止
应用程序: Sample
用户: DESKTOP-DQJ0HTT\lybing
用户类型: 发起者
组件: 系统监控
结果说明: 已终止
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 文件
对象路径: C:\Users\lybing\AppData\Roaming\Potato\plugin
对象名称: webr.exe
MD5: A30F819871BF0BF795BF6C6EDFDBD825


评分

参与人数 2人气 +4 收起 理由
swizzer + 1 SOS拯救卡饭
LSPLDD + 3 团长回来力!!!

查看全部评分

回复

举报

hansyu
发表于 2024-1-27 00:14:54 | 显示全部楼层
本帖最后由 hansyu 于 2024-1-27 00:47 编辑

ESSP 扫描4x
CloudChatAPK.exe - Win32/Packed.NoobyProtect.G 可疑应用程序 的变量
TD-Potato-19.2.5.msi > MSI > disk1.cab > CAB > webr.exe - Win64/Injector.JN 特洛伊木马 的变量
dfcft88.exe > ADVANCEDINSTALLER > 东方财富1.cab > CAB > adDownload.dll - Win32/Agent.AGEC 特洛伊木马 的变量
quickq6-4.msi > MSI > disk1.cab > CAB > COMSupport.dll_1 - Win32/Agent.ACHV_AGen.A 特洛伊木马 的变量


提取扫描2x
mail8.exe > 1.exe;ESET LiveGuard 潜在的不受欢迎应用程序
jiemaAPm.msi > webr.exe;Win64/Injector.JN 特洛伊木马 的变量



回复

举报

心醉咖啡
发表于 2024-1-27 00:16:26 | 显示全部楼层
火绒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

神秘鬼
发表于 2024-1-27 00:34:09 | 显示全部楼层
卡巴  余3

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

t0kenzero
发表于 2024-1-27 00:39:25 | 显示全部楼层
本帖最后由 t0kenzero 于 2024-1-27 01:07 编辑
LSPLDD 发表于 2024-1-26 23:54
BD扫描0X 双击6X:

CloudChatAPK.exe

补两个ATC杀的告警



外加一个BD针对quickq6-4.msi的,,沙箱结果
云杀COMSupport.dll



BD重启后杀了个,,, 至少没外联了





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

秋日之殇
发表于 2024-1-27 00:47:44 | 显示全部楼层
神秘鬼 发表于 2024-1-27 00:34
卡巴  余3

卡巴总的结果参考5楼
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-16 15:18 , Processed in 0.132863 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表