8x (2024-01-27, p.m.)

显示全部楼层 · 发表于 2024-1-27 14:55:48

本帖最后由 swizzer 于 2024-1-27 19:02 编辑

https://pan.huang1111.cn/s/LLKKI6
https://wormhole.app/PNYnB#T3BudIEiVZNw8Ya9u1s3Pg
https://f.wss.ink/f/d935tjgypat

可预见的检出率不会太高，欢迎双击/上报

X-Sec 5/8

Threat Detected: E:\Malware\240127-2\048c0d3b.exe -- [rame-classic] Trojan.Obfus/JS!1.F41B
Threat Detected: E:\Malware\240127-2\50606b38.exe -- [rame-classic] Trojan.Obfus/JS!1.F41B
Threat Detected: E:\Malware\240127-2\7a2caa34.exe -- [rame-cloud] Trojan.Undefined!8.1327C
Threat Detected: E:\Malware\240127-2\7e9c49e7.exe -- [rame-classic] Trojan.Obfus/JS!1.F3B0
Threat Detected: E:\Malware\240127-2\c5f907b7.exe -- [rame-classic] Spyware.Agent/PYC!1.EA8F

复制代码

显示全部楼层 · 发表于 2024-1-27 20:08:04

共6个Electron Stealer，除开1个特殊的之外，剩下的未检测的都跟进检测了
那个特殊的先靠云报吧，本地化检测得想点别的办法

另外有个没报的PyInstaller打包的Stealer也跟进检测了

显示全部楼层 · 发表于 2024-1-27 15:09:33

Avast

显示全部楼层 · 发表于 2024-1-27 15:35:57

本帖最后由 Baby小尧于 2024-1-27 15:49 编辑

Avira扫描kill 3x双击kill 2x 总计5x

1、样本：7a2caa34.exe kill

2、样本：7e9c49e7.exe miss

3、样本：048c0d3b.exe miss

4、样本：50606b38.exe miss

5、样本：b5870fde.exe kill

显示全部楼层 · 发表于 2024-1-27 15:39:54

Baby小尧发表于 2024-1-27 15:35
Avira扫描kill 3x双击kill 2x 总计5x

1、样本：7a2caa34.exe kill

后两个都是假报错

显示全部楼层 · 发表于 2024-1-27 15:41:49

本帖最后由 Baby小尧于 2024-1-27 15:46 编辑

swizzer 发表于 2024-1-27 15:39
后两个都是假报错

3、4样本？048和506？如果是假报错就是miss了。跟你确认一下，我然后我改一下。现在暂时没分了，等分数恢复我给你补上

显示全部楼层 · 发表于 2024-1-27 15:42:30

显示全部楼层 · 发表于 2024-1-27 15:44:19

Baby小尧发表于 2024-1-27 15:41
3、4样本？048和506？如果是假报错就是miss了

嗯。

其实第一个(7e9c49e7)看起来也只是窃取Discord token的时候没成功，浏览器cookie或许也是成功窃取的。

显示全部楼层 · 发表于 2024-1-27 15:58:34

本帖最后由 tjsh 于 2024-1-27 19:50 编辑

河众 miss all
我的stealer规则呢？飞了？牛逼19:28更毒库后：Kill5x 全部启发

显示全部楼层 · 发表于 2024-1-27 16:05:30

ESSP 解压2x+ELG 1x
c5f907b7.exe;Win64/Packed.PyInstaller.L 特洛伊木马的变量
c4927920.exe;多个检测
7a2caa34.exe;ESET LiveGuard 特洛伊木马

显示全部楼层 · 发表于 2024-1-27 16:11:18

本帖最后由 DisaPDB 于 2024-1-27 17:42 编辑

编辑
KSOS 扫描3x

360 扫描2x

[病毒样本] 8x (2024-01-27, p.m.)