#Rhadamanthys #FakeCrack 1X

显示全部楼层 · 发表于 2024-2-18 15:30:06

本帖最后由 hsks 于 2024-2-18 15:44 编辑

https://f.ws59.cn/f/dfd8v74o254
https://www.123pan.com/s/FJUmjv-Vd5N.html
https://pan.huang1111.cn/s/Any8SB

双击exe，暂不清楚是exe是恶意的还是内部带的JAVA运行环境有恶意文件（

Fake Video：hxxps://www.youtube.com/watch?v=AebRkGOwT3A

加个毒网（不是这个样本相关的） hxxps://zensoft.vip/

显示全部楼层 · 发表于 2024-2-18 21:57:55

UNknownOoo 发表于 2024-2-18 15:56
火绒
扫描：1X

问题文件在dn-compiled-module.jar里面
我的公众号写文章介绍过相关套路
X-Sec要等下次更新瑞星引擎后才可以检测
下一阶段的URL：hxxps://yoda-human.su/yoda.exe

显示全部楼层 · 发表于 2024-2-18 15:56:50

本帖最后由 UNknownOoo 于 2024-2-19 01:34 编辑

火绒
~~扫描：1X~~
扫描：误报 1X（

扫描文件：259
发现风险：1
已处理风险：0
病毒详情：
风险路径：C:\Users\UnknownOoo\Downloads\Compressed\Seturp v_43.4Y\lib\dn-php-sdk.jar >> JPHP-INF\sdk\ParseError.php, 病毒名：HEUR:Backdoor/PHP.WebShell.g, 病毒ID：02811cb47cf1f536, 处理结果：暂不处理

复制代码

X-Sec
扫描：MISS

显示全部楼层 · 发表于 2024-2-18 16:00:20

卡巴扫描miss

显示全部楼层 · 发表于 2024-2-18 16:06:30

UNknownOoo 发表于 2024-2-18 15:56
火绒
扫描：1X

这个好像是误报

显示全部楼层 · 发表于 2024-2-18 22:03:32

冰盾Hips拦截 shell命令

显示全部楼层 · 发表于 2024-2-18 22:22:18

显示全部楼层 · 发表于 2024-2-18 22:46:14

卡巴可以拦截5L瑞星大佬提供的网址

显示全部楼层 · 发表于 2024-2-18 22:49:15

UNknownOoo 发表于 2024-2-18 15:56
火绒
扫描：1X

按照5L大佬的说法可能火绒报错东西了

显示全部楼层 · 发表于 2024-2-18 22:50:19

杀jar应该才正常

[病毒样本] #Rhadamanthys #FakeCrack 1X