龟包 240220 27X

神龟Turmi

今日VT API屎里淘金结果 29中7。。。

下载：
https://malware.camp/Turtle/TurtleSUSP-240220.zip
分流：
https://mirrors-s1.malware.camp/Turtle/TurtleSUSP-240220.zip
https://mirrors-s2.malware.camp/Turtle/TurtleSUSP-240220.zip
https://mirrors-s3.malware.camp/Turtle/TurtleSUSP-240220.zip
龟包列表：
https://malware.camp/Turtle/

ClamAV：

3/27

DisaPDB

360 扫描22x

自动机鉴定 1x（

双击 一转攻势

1. 时间        操作        说明        次数
   
2. 2024-02-21 02:01:34        [已清除]          发现木马：Win32/Worm.Shakblades.HgIATT0A        防护 1 次
   
3. 详细描述：
   
4. 木马名称：Win32/Worm.Shakblades.HgIATT0A
   
5. 所在路径：C:\Users\Administrator\Desktop\TurtleSUSP-240220\TS-240220-27-OrcusRAT-149b03.exe
   

复制代码

1. 时间        操作        说明        次数
   
2. 2024-02-21 02:01:26        [已清除]          发现木马：Win32/Backdoor.XWorm.HgIATT0A        防护 1 次
   
3. 详细描述：
   
4. 木马名称：Win32/Backdoor.XWorm.HgIATT0A
   
5. 所在路径：C:\Users\Administrator\Desktop\TurtleSUSP-240220\TS-240220-26-UnknownRAT-9ee90a.exe

复制代码

1. 时间        操作        说明        次数
   
2. 2024-02-21 02:01:09        [已阻止]          远程线程注入        防护 1 次
   
3. 详细描述：
   
4. 进程：C:\Users\Administrator\Desktop\TurtleSUSP-240220\TS-240220-03-AgentTesla-c68c07.exe
   
5. 动作：远程线程注入
   
6. 路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe
   
7. 风险文件：C:\Users\Administrator\Desktop\TurtleSUSP-240220\TS-240220-03-AgentTesla-c68c07.exe
   
8. 全部阻止
   
9. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
   
10. 
    
11. 防护信息: AD|2, 88|30, 30, -1||
    

复制代码

1. 时间        操作        说明        次数
   
2. 2024-02-21 02:00:24        [已阻止]          远程线程注入        防护 1 次
   
3. 详细描述：
   
4. 进程：C:\Users\Administrator\Desktop\TurtleSUSP-240220\TS-240220-01-AgentTesla-301aba.exe
   
5. 动作：远程线程注入
   
6. 路径：C:\Users\Administrator\Desktop\TurtleSUSP-240220\TS-240220-01-AgentTesla-301aba.exe
   
7. 风险文件：C:\Users\Administrator\Desktop\TurtleSUSP-240220\TS-240220-01-AgentTesla-301aba.exe
   
8. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
   
9. 
   
10. 防护信息: AD|2, 88|40, 40, -1||
    

复制代码

合计27/27

不知起什么名

火绒 扫描21x
双击：4x

1. 病毒名称：Trojan/Injector.OA
   
2. 病毒路径：C:\Users\Administrator\Desktop\TurtleSUSP-240220\TS-240220-11-AgentTesla-da72e8.exe
   
3. 操作结果：已处理，删除文件
   
4. 
   
5. 病毒名称：Trojan/Injector.OA
   
6. 病毒路径：C:\Users\Administrator\Desktop\TurtleSUSP-240220\TS-240220-07-AgentTesla-f5a0c4.exe
   
7. 操作结果：已处理，删除文件
   
8. 
   
9. 防护项目：启动项
   
10. 操作类型：修改
    
11. 数据内容：C:\Users\Administrator\AppData\Roaming\wBeZBSZ\wBeZBSZ.exe
    
12. 目标注册表：HKEY_USERS\S-1-5-21-2249074883-1777742948-139354711-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wBeZBSZ
    
13. 操作结果：已阻止
    
14. 
    
15. 进程ID：1980
    
16. 操作进程：C:\Windows\Microsoft.NET\Framework\v4.0.30319\CasPol.exe
    
17. 操作进程命令行："C:\Windows\Microsoft.NET\Framework\v4.0.30319\CasPol.exe"
    
18. 父进程ID：1504
    
19. 父进程：C:\Users\Administrator\Desktop\TurtleSUSP-240220\TS-240220-12-AgentTesla-df1023.exe
    
20. 父进程命令行："C:\Users\Administrator\Desktop\TurtleSUSP-240220\TS-240220-12-AgentTesla-df1023.exe"
    
21. 
    
22. 病毒名称：Trojan/Injector.I
    
23. 病毒路径：C:\Users\Administrator\Desktop\TurtleSUSP-240220\TS-240220-12-AgentTesla-df1023.exe
    
24. 操作结果：已处理，删除文件
    
25. 
    
26. 病毒名称：ADV:Trojan/GenInjector.A!1.27
    
27. 病毒路径：C:\Users\Administrator\Desktop\TurtleSUSP-240220\TS-240220-18-AgentTesla-1f6156.exe
    
28. 操作结果：已处理，删除文件
    
29. 
    
30. 防护项目：利用PowerShell执行可疑脚本
    
31. 执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    
32. 执行命令行："C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'TS-240220-26-UnknownRAT-9ee90a.exe'
    
33. 操作结果：已阻止
    
34. 
    
35. 防护项目：利用PowerShell执行可疑脚本
    
36. 执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    
37. 执行命令行："C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\Users\Administrator\MicrosoftLiveDriver.exe'
    
38. 操作结果：已阻止
    
39. 
    
40. 进程ID：3700
    
41. 操作进程：C:\Users\Administrator\Desktop\TurtleSUSP-240220\TS-240220-26-UnknownRAT-9ee90a.exe
    
42. 操作进程命令行："C:\Users\Administrator\Desktop\TurtleSUSP-240220\TS-240220-26-UnknownRAT-9ee90a.exe"
    
43. 父进程ID：5184
    
44. 父进程：C:\Windows\explorer.exe
    
45. 父进程命令行：C:\Windows\Explorer.EXE
    

复制代码

zfc234

ZoneAlarm Extreme Security清空

LeeHS

zfc234 发表于 2024-2-21 02:46
ZoneAlarm Extreme Security清空

这个ZoneAlarm Extreme Security和这个是不是同一样东西？

zfc234

LeeHS 发表于 2024-2-21 08:29
这个ZoneAlarm Extreme Security和这个是不是同一样东西？

不是，ZoneAlarm Extreme Security NG是ZoneAlarm Extreme Security Legacy的全新替代版本，NG版和他们自家企业产品的技术比较接近，老版基本上就是完全的卡巴oem（带云），但是Threat Emulation已经无了，只有新版可以使用。

LeeHS

zfc234 发表于 2024-2-21 08:42
不是，ZoneAlarm Extreme Security NG是ZoneAlarm Extreme Security Legacy的全新替代版本，NG版和他们自 ...

新版本GUI掉帧，没办法设置敏感度，还有机会引擎初始化错误。。。激活了1设备key居然投放5设备广告，绝了

zfc234

LeeHS 发表于 2024-2-21 09:11
新版本GUI掉帧，没办法设置敏感度，还有机会引擎初始化错误。。。激活了1设备key居然投放5设备广告，绝了

新版的交互真的是一坨。。。

GreatMOLA

Panda Dome 扫描13x，



执行主防2x。

384也7492374

CP断网 静态 ALL
BEST 静态 余3 双击ALL
elastic 静态 ALL