Farfli

显示全部楼层 · 发表于 2024-2-3 13:42:14

SEP

显示全部楼层 · 发表于 2024-2-3 13:43:11

本帖最后由 LFERE 于 2024-2-3 14:06 编辑

回错贴编辑

显示全部楼层 · 发表于 2024-2-3 13:44:38

建议各位解压分卷，目前来看出现了分流解压后文件损坏的问题……

显示全部楼层 · 发表于 2024-2-3 13:44:54

anxiety520 发表于 2024-2-3 13:41
下午1点25 的报告
UDS:Backdoor.Win32.Lotok.tqj
HEUR:Backdoor.Win32.Zegost.gen

我这边，下到的样本好像和你的不太一样。

显示全部楼层 · 发表于 2024-2-3 13:45:07

GDHJDSYDH 发表于 2024-2-3 11:42
VT上倒是有15个报毒

你vt跟楼主文件的哈希不一致，这个才是‘

https://www.virustotal.com/gui/f ... 3c88939948c9f0ea0d5

显示全部楼层 · 发表于 2024-2-3 13:45:58

本帖最后由 wwwab 于 2024-2-3 13:51 编辑

别吵了，你们得到的样本不是同一个，有一批得到的是损坏样本

估计是分卷的问题

你们上面一部分人测的样本hash不一样

8楼得到的样本，Sha-256以ed95开头：

11楼得到的样本，Sha-256以898c开头：

楼主下放的多引擎查毒，样本Sha-256以898c开头：

同时，898c开头样本威胁情报在多日前就有了

898c开头样本可以正常运行产生行为，ed95开头样本不能运行

对比ed95开头和898c开头样本字符串和二进制数据，unicode字符串和ascii字符串几乎一致：

#+3;CScs
Please wait while Setup is loading...
SysListView32
msctls_progress32
MS Shell Dlg

复制代码

#+3;CScs
msctls_progress32
MS Shell Dlg
SysListView32
Please wait while Setup is loading...

复制代码

故判断，如果你得到的样本sha-256开头为ed95，这是个损坏样本

样本sha-256开头为898c的才是正确的样本

显示全部楼层 · 发表于 2024-2-3 13:48:30

本帖最后由 GDHJDSYDH 于 2024-2-3 13:50 编辑

t0kenzero 发表于 2024-2-3 13:45
你vt跟楼主文件的哈希不一致，这个才是‘

https://www.virustotal.com/gui/file/898c6210ee7f3e877d6e ...

我从原本二楼（还是几楼我忘了）的分流下载的，估计下到了损坏的

显示全部楼层 · 发表于 2024-2-3 13:48:35

本帖最后由 tony099 于 2024-2-3 13:53 编辑

anxiety520 发表于 2024-2-3 13:41
1点整更的数据库 1点25的报告
UDS:Backdoor.Win32.Lotok.tqj
HEUR:Backdoor.Win32.Zegost.gen

我这边下午13：48 ，已经PDM》UDS了

HEUR:Backdoor.Win32.Zegost.gen

UDS:Backdoor.Win32.Lotok.tqj

显示全部楼层 · 发表于 2024-2-3 13:49:58

wwwab 发表于 2024-2-3 13:45
别吵了，你们得到的样本不是同一个，有一批得到的是损坏样本

估计是分卷的问题

写反了

ed95开头样本可以正常运行产生行为，898c开头样本不能运行

显示全部楼层 · 发表于 2024-2-3 13:51:19

hansyu 发表于 2024-2-3 13:49
写反了

已修改

[病毒样本] Farfli

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源