#Vidar +#Downloader #FakeCrack 白加黑（2.17）

显示全部楼层 · 发表于 2024-2-17 19:18:10

本帖最后由 hsks 于 2024-2-17 21:32 编辑

hxxps://ayeshapc.com/
C2：95.217.31.190
双击exe
https://wwu.lanzouq.com/ikyyj1ojqbfc

显示全部楼层 · 发表于 2024-2-17 19:20:59

显示全部楼层 · 发表于 2024-2-17 20:07:52

360双击小等了一会，拦截了！

显示全部楼层 · 发表于 2024-2-17 20:22:19

本帖最后由 dght432 于 2024-2-17 20:25 编辑

文件名查杀
类型:高危程序-行为和木马非常相似的程序
描述:此类程序危险性较高，会影响系统的正常运行。
扫描引擎:云安全引擎
文件路径:D:\360安全浏览器下载\Cracked\Main _Files\msidcrl40.dll
文件大小:791.3K (810,320 字节)
文件版本:4.100.313.1
文件描述:IDCRL Dynamic Link Library
文件指纹（MD5）:2900a2089198027c4c6313d33f3f8fe0
数字签名:Microsoft Corporation
数字签名是否有效:无效
处理建议:隔离文件

显示全部楼层 · 发表于 2024-2-17 20:36:16

KES UDS:Trojan.Win32.Penguish

显示全部楼层 · 发表于 2024-2-17 21:18:49

本帖最后由 hansyu 于 2024-2-17 21:21 编辑

ESET 双击到最后释放一个Comodo的白加黑？内存杀。

文件;hxxp://95.217.31.190/cp.exe;Win32/Taobao.D 潜在的不受欢迎应用程序的变量;连接已终止
文件;C:\ProgramData\FHIDBKFCAA.exe;Win32/Taobao.D 潜在的不受欢迎应用程序的变量;已通过删除清除
文件;hxxp://95.217.31.190/ama.exe;URL/Urlik.A Object ;连接已终止
系统内存 > C:\Users\anna\AppData\Local\Temp\ffnfgsklqx;Win32/TrojanDownloader.Amadey.A 特洛伊木马的变量;已通过删除清除

显示全部楼层 · 发表于 2024-2-17 21:23:15

本帖最后由不知起什么名于 2024-2-17 21:32 编辑

火绒扫描双击miss

显示全部楼层 · 发表于 2024-2-17 21:25:53

hansyu 发表于 2024-2-17 21:18
ESET 双击到最后释放一个Comodo的白加黑？内存杀。

白加黑再套白加黑是吧

这下了多少啊

玩的有点花（

显示全部楼层 · 发表于 2024-2-17 21:29:57

hsks 发表于 2024-2-17 21:25
白加黑再套白加黑是吧

这下了多少啊

目前跑到这里就剩Comodo进程，持久化也是只有这个comodo加计划任务，每1分钟执行一次。
看ESET的downloader报法，comodo可能还会下载其他的东西。不过在这被内存杀没有继续下载。

显示全部楼层 · 发表于 2024-2-17 21:31:14

hansyu 发表于 2024-2-17 21:29
目前跑到这里就剩Comodo进程，持久化也是只有这个comodo加计划任务，每1分钟执行一次。
看ESET的downloa ...

看了下大致流程

第一步是微软系白加黑读取Vidar相关C2配置

然后似乎从Vidar C2上下别的东西？

玩的有点花（

我看看下下来的东西

[病毒样本] #Vidar +#Downloader #FakeCrack 白加黑（2.17）

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

[病毒样本] #Vidar +#Downloader #FakeCrack 白加黑 （2.17）

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

[病毒样本] #Vidar +#Downloader #FakeCrack 白加黑（2.17）