16x (2024-01-31)

swizzer

DisaPDB 发表于 2024-1-31 10:02
确实是报错了

怪，母体并没有释放额外的配置，不知道为什么提取出的Payload会报错

wwwab

好像有些样本没跑起来

火绒双击：

1. 病毒名称：ADV:Trojan/GenInjector.A!1.27
   
2. 病毒路径：C:\Users\Administrator\Downloads\240131\44d966ac.exe
   
3. 操作结果：已处理，删除文件
   
4. 
   
5. 进程ID：7152
   
6. 操作进程命令行："C:\Users\Administrator\Downloads\240131\44d966ac.exe"
   
7. 父进程ID：6360
   
8. 父进程：C:\Windows\explorer.exe
   
9. 父进程命令行：C:\Windows\Explorer.EXE

复制代码

1. 病毒名称：ADV:Trojan/GenInjector.A!1.27
   
2. 病毒路径：C:\Users\Administrator\Downloads\240131\296a1500.exe
   
3. 操作结果：已处理，删除文件
   
4. 
   
5. 进程ID：7312
   
6. 操作进程命令行："C:\Users\Administrator\Downloads\240131\296a1500.exe"
   
7. 父进程ID：6360
   
8. 父进程：C:\Windows\explorer.exe
   
9. 父进程命令行：C:\Windows\Explorer.EXE

复制代码

1. 防护项目：启动目录(扩展保护)
   
2. 目标文件：C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Updater.exe
   
3. 操作结果：已阻止
   
4. 
   
5. 进程ID：2564
   
6. 操作进程：C:\Users\Administrator\AppData\Local\Temp\2bfYys1g69UaM6WB41pIbiOrqoN\GrappleTanks.exe
   
7. 操作进程命令行：C:\Users\ADMINI~1\AppData\Local\Temp\2bfYys1g69UaM6WB41pIbiOrqoN\GrappleTanks.exe
   
8. 父进程ID：5732
   
9. 父进程：C:\Users\Administrator\Downloads\240131\c053aaf9.exe
   
10. 父进程命令行："C:\Users\Administrator\Downloads\240131\c053aaf9.exe"

复制代码

wwwabantivirusscanner：
扫描（本地1X，云引擎8X）：

1. 程序启动时间: 2024-01-31 10:11:24.762974
   
2. 云引擎 1 连通状态检测通过
   
3. 云引擎 2 连通状态检测通过
   
4. 本地引擎准备就绪
   
5. yara引擎准备就绪
   
6. 用户输入_扫描对象路径: C:\Users\Administrator\Downloads\240131
   
7. 扫描开始时间: 2024-01-31 10:11:57.219826
   
8. C:\Users\Administrator\Downloads\240131\296a1500.exe Win32/Heur.Generic.HwMAA1gA(cloud1)
   
9. C:\Users\Administrator\Downloads\240131\304f5f10.exe Win32/Trojan.Generic.HwMABo8A(cloud1)
   
10. C:\Users\Administrator\Downloads\240131\38346750.exe Win32/Trojan.Generic.HxMBBskA(cloud1)
    
11. C:\Users\Administrator\Downloads\240131\3ddb083e.bat Script/Trojan.Generic.HswATSgA(cloud1)
    
12. C:\Users\Administrator\Downloads\240131\44d966ac.exe Win32/Trojan.Generic.HgIATSgA(cloud1)
    
13. C:\Users\Administrator\Downloads\240131\8738866b.msi Win64/Trojan.Loader.HnoATSUA
    
14. C:\Users\Administrator\Downloads\240131\ae760c09.dll Win64/HackTool.CobaltStrike.HggATSgA(cloud1)
    
15. C:\Users\Administrator\Downloads\240131\e6ae5b6a.exe Win64/TrojanSpy.Generic.HgEATR0A(cloud1)
    
16. C:\Users\Administrator\Downloads\240131\e85e398c.exe Trojan.Farfli.a(Yara)
    
17. 扫描结束时间: 2024-01-31 10:12:51.424645
    
18. 本次扫描共用时: 54 秒(s)
    
19. 本次共检出 9 个风险项目

复制代码

双击：

1. 检测到恶意软件: Windows.Trojan.AgentTesla.d3ac2b2f
   
2. PID:  3808
   
3. Name:  304f5f10.exe
   
4. Executable:  C:\Users\Administrator\Downloads\240131\304f5f10.exe
   
5. Cmdline:  ['C:\\Users\\Administrator\\Downloads\\240131\\304f5f10.exe']
   
6. -------------------------
   
7. 成功: 已终止 PID 为 3808 的进程。
   
8. -------------------------
   
9. 检测到恶意软件: Windows.Trojan.AgentTesla.d3ac2b2f
   
10. PID:  2064
    
11. Name:  d62b6cf1.exe
    
12. Executable:  C:\Users\Administrator\Downloads\240131\d62b6cf1.exe
    
13. Cmdline:  ['C:\\Users\\Administrator\\Downloads\\240131\\d62b6cf1.exe']
    
14. -------------------------
    
15. 成功: 已终止 PID 为 2064 的进程。
    
16. -------------------------
    
17. 检测到恶意软件: Windows.Trojan.Donutloader.f40e3759
    
18. PID:  2396
    
19. Name:  upgrader.exe
    
20. Executable:  C:\Users\Administrator\AppData\Local\Temp\upgrader.exe
    
21. Cmdline:  ['C:\\Users\\Administrator\\AppData\\Local\\Temp\\upgrader.exe']
    
22. -------------------------
    
23. 成功: 已终止 PID 为 2396 的进程。
    
24. -------------------------

复制代码

tjsh

火绒：

1. 病毒库时间：2024-01-30 17:55
   
2. 开始时间：2024-01-31 10:13
   
3. 总计用时：00:00:33
   
4. 扫描对象：228
   
5. 扫描文件：17
   
6. 发现风险：4
   
7. 已处理风险：0
   
8. 病毒详情：
   
9. 风险路径：C:\Users\tjsh\Desktop\240131\304f5f10.exe, 病毒名：TrojanSpy/MSIL.AgentTesla.mq, 病毒ID：ac3cb7ce3931cea3, 处理结果：暂不处理
   
10. 风险路径：C:\Users\tjsh\Desktop\240131\d62b6cf1.exe, 病毒名：TrojanSpy/MSIL.AgentTesla.mq, 病毒ID：ac3cb7ce3931cea3, 处理结果：暂不处理
    
11. 风险路径：C:\Users\tjsh\Desktop\240131\e6ae5b6a.exe, 病毒名：Trojan/Generic!38025703AC114DA3, 病毒ID：38025703ac114da3, 处理结果：暂不处理
    
12. 风险路径：C:\Users\tjsh\Desktop\240131\e85e398c.exe, 病毒名：Trojan/Obfuscated.et, 病毒ID：cd2cfd7f51ca0242, 处理结果：暂不处理
    

复制代码

河众

1. 
   
2. ------------------------HEZHONG ANTIVIRUS SCAN LOG------------------------
   
3. 开始于:  2024.1.31-10.14.8
   
4. 病毒库版本:  2024.1.27 19:24
   
5. 软件版本:  6.09
   
6. 引擎版本:  5.42.0.7
   
7. 记录病毒数量:  165508
   
8. ------------------------HEZHONG ANTIVIRUS SCAN LOG------------------------
   
9.             
   
10.             
    
11. 扫描文件：C:/Users/tjsh/Desktop/240131\0c1a9721.exe    ......
    
12. 扫描文件：C:/Users/tjsh/Desktop/240131\296a1500.exe    ......
    
13. 扫描文件：C:/Users/tjsh/Desktop/240131\304f5f10.exe    ......
    
14. 扫描文件：C:/Users/tjsh/Desktop/240131\38346750.exe    ......-> 发现了：Sus.VMP
    
15. 扫描文件：C:/Users/tjsh/Desktop/240131\3ddb083e.bat    ......
    
16. 扫描文件：C:/Users/tjsh/Desktop/240131\44d966ac.exe    ......
    
17. 扫描文件：C:/Users/tjsh/Desktop/240131\5e2bfc43.exe    ......
    
18. 扫描文件：C:/Users/tjsh/Desktop/240131\8738866b.msi    ......
    
19. 扫描文件：C:/Users/tjsh/Desktop/240131\a5b3ba19.exe    ......
    
20. 扫描文件：C:/Users/tjsh/Desktop/240131\ae760c09.dll    ......
    
21. 扫描文件：C:/Users/tjsh/Desktop/240131\AutoIT\Autoit3.exe    ......
    
22. 扫描文件：C:/Users/tjsh/Desktop/240131\AutoIT\cbbbgae.au3.js    ......
    
23. 扫描文件：C:/Users/tjsh/Desktop/240131\c053aaf9.exe    ......-> 发现了：Generic!a183f8d21ef14293b0a54fca647cdcb6
    
24. 扫描文件：C:/Users/tjsh/Desktop/240131\d62b6cf1.exe    ......
    
25. 扫描文件：C:/Users/tjsh/Desktop/240131\e6ae5b6a.exe    ......
    
26. 扫描文件：C:/Users/tjsh/Desktop/240131\e85e398c.exe    ......
    
27. 扫描文件：C:/Users/tjsh/Desktop/240131\ebf06844.exe    ......

复制代码

DisaPDB

wwwab 发表于 2024-1-31 10:14
好像有些样本没跑起来

火绒双击：

哪两个云

枣泥奶卷

这个ebf06844.exe ELG与安恒云沙箱都没跑出行为，就微步报高危，有这么强吗

GreatMOLA

Cy 静态12x

班德就是我

小红伞双击扫描15个

吃瓜群众第123位

AhnLab V3 Internet Security V9 kill 8x

biue

DisaPDB

swizzer 发表于 2024-1-31 10:09
怪，母体并没有释放额外的配置，不知道为什么提取出的Payload会报错

我试着用autoit编辑器运行了一下，报错信息如下：

1. >"D:\Program Files (x86)\AutoIt3\SciTE\AccAu3Wrapper\AccAu3Wrapper.exe" /run /prod /ErrorStdOut /in "C:\Users\Administrator\Desktop\AutoIT\BackUp\cbbbgae_old1.au3" /UserParams   
   
2. +>12:06:21 开始 AccAu3Wrapper v.16.306.1237.0 SciTE v.3.6.2.0
   
3.     ------------------------------------------------------------------------------------------------------
   
4.     键盘布局:E0200804  操作系统:WIN_7/Service Pack 1  CPU:X64 系统架构:X64    字符集:936
   
5.     SciTE目录 => D:\Program Files (x86)\AutoIt3\SciTE   用户目录 => C:\Users\Administrator\AppData\Local\AutoIt v3\SciTE\AutoIt3Wrapper   SCITE_USERHOME => C:\Users\Administrator\AppData\Local\AutoIt v3\SciTE
   
6.     ------------------------------------------------------------------------------------------------------
   
7. >运行 AU3Check (3.3.14.2)  从:D:\Program Files (x86)\AutoIt3
   
8. +>12:06:21 AU3Check 语法检查结束.rc:0
   
9. >运行:(3.3.14.2):D:\Program Files (x86)\AutoIt3\autoit3_x64.exe "C:\Users\Administrator\Desktop\AutoIT\BackUp\cbbbgae_old1.au3"   
   
10. --> 按 Ctrl+Alt+Break 重新启动或按 Ctrl+Break 停止
    
11. <font color="#ff0000">"C:\Users\Administrator\Desktop\AutoIT\BackUp\cbbbgae_old1.au3" (3) : ==> Array variable has incorrect number of subscripts or subscript dimension range exceeded.:</font>
    
12. ->12:06:22 AutoIt3.exe 结束.rc:1
    
13. +>12:06:22 AccAu3Wrapper 完成.
    
14. >Exit code: 1    Time: 2.742
    

复制代码