龟包 240325 11X

神龟Turmi

AgentTesla看来是固定双休了。。。周六周日固定消失 周一就又出现了

下载：
https://malware.camp/Turtle/TurtleSUSP-240325.zip
分流：
https://mirrors-s1.malware.camp/Turtle/TurtleSUSP-240325.zip
https://mirrors-s2.malware.camp/Turtle/TurtleSUSP-240325.zip
https://mirrors-s3.malware.camp/Turtle/TurtleSUSP-240325.zip
龟包列表：
https://malware.camp/Turtle/

t0kenzero

cylance 11X
VBS Optics杀

DisaPDB

360


自动机鉴定 3x


双击 1x

合计11/11

biue

UNknownOoo

火绒（未开高级启发
扫描：特征 8x

1. 扫描文件：11
   
2. 发现风险：8
   
3. 已处理风险：0
   
4. 病毒详情：
   
5. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\TurtleSUSP-240325\TS-240325-02-AgentTesla-e626ed.vbs, 病毒名：HEUR:TrojanDownloader/VBS.NetLoader.e, 病毒ID：b1e6665d085b1c8d, 处理结果：暂不处理
   
6. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\TurtleSUSP-240325\TS-240325-10-LokiBot(GULoader)-a2e04a.exe >> [NSIS].nsi, 病毒名：Trojan/Injector.bge, 病毒ID：88af47f8315b0473, 处理结果：暂不处理
   
7. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\TurtleSUSP-240325\TS-240325-04-AgentTesla(PSEmbedd)-9d220f.exe, 病毒名：HEUR:TrojanDownloader/PS.NetLoader.e, 病毒ID：cbc712e426aec0fe, 处理结果：暂不处理
   
8. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\TurtleSUSP-240325\TS-240325-01-AgentTesla-1d7506.exe, 病毒名：TrojanSpy/MSIL.AgentTesla.mq, 病毒ID：d74520d1b2d3abdd, 处理结果：暂不处理
   
9. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\TurtleSUSP-240325\TS-240325-07-AgentTesla-471b96.exe, 病毒名：TrojanSpy/MSIL.AgentTesla.mq, 病毒ID：d74520d1b2d3abdd, 处理结果：暂不处理
   
10. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\TurtleSUSP-240325\TS-240325-05-AgentTesla-6237c5.exe, 病毒名：TrojanSpy/MSIL.AgentTesla.mq, 病毒ID：d74520d1b2d3abdd, 处理结果：暂不处理
    
11. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\TurtleSUSP-240325\TS-240325-06-AgentTesla-57e0e2.exe, 病毒名：TrojanSpy/MSIL.AgentTesla.mq, 病毒ID：d74520d1b2d3abdd, 处理结果：暂不处理
    
12. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\TurtleSUSP-240325\TS-240325-08-AgentTesla(AutoIt)-a244b9.exe, 病毒名：HVM:VirTool/Obfuscator.gen!A, 病毒ID：b27d4294cde6a1ec, 处理结果：暂不处理

复制代码

运行：TS-240325-03-AgentTesla(GULoader)-e30776.exe

1. 防护项目：隐藏执行PowerShell
   
2. 执行文件：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
   
3. 执行命令行："powershell" -windowstyle hidden "$Nonadmissions=Get-Content 'C:\Users\Serendipity\AppData\Roaming\enomaniac\Fiskeeksporter\Lavningerne.All';$Adfrdsnormens=$Nonadmissions.SubString(57855,3);.$Adfrdsnormens($Nonadmissions)"
   
4. 操作结果：已允许
   

复制代码

1. 病毒名称：Trojan/Injector.AC
   
2. 病毒路径：C:\Users\Serendipity\Desktop\TurtleSUSP-240325\TS-240325-03-AgentTesla(GULoader)-e30776.exe
   
3. 操作结果：已处理
   

复制代码

TS-240325-09-BlankGrabber-4874df.exe - MISS


TS-240325-11-Remcos-e9482b.exe - 内存特征 2x
但是因为火绒奇怪的内存防护机制（内存检出风险不封锁进程 + 不处理系统进程）导致处理失败

1. 病毒名称：Trojan/MSIL.Injector.np
   
2. 病毒ID：2EC8D38D93924346
   
3. 虚拟地址：0x0000000076AD0000
   
4. 映像大小：816KB
   
5. 是否完整映像：否
   
6. 数据流哈希：c4851ab5
   
7. 操作结果：已处理
   
8. 进程ID：3100
   
9. 操作进程：C:\Users\Serendipity\Desktop\TurtleSUSP-240325\TS-240325-11-Remcos-e9482b.exe
   

复制代码

1. 病毒名称：Backdoor/Remcos.k
   
2. 病毒ID：CA6D276341E73D30
   
3. 虚拟地址：0x0000000000400000
   
4. 映像大小：508KB
   
5. 是否完整映像：否
   
6. 数据流哈希：e1ae34da
   
7. 操作结果：已处理
   
8. 进程ID：8120
   
9. 操作进程：C:\Program Files (x86)\Windows Mail\wab.exe
   
10. 操作进程命令行："C:\Program Files (x86)\Windows Mail\wab.exe"
    
11. 父进程ID：3100
    
12. 父进程：C:\Users\Serendipity\Desktop\TurtleSUSP-240325\TS-240325-11-Remcos-e9482b.exe
    

复制代码

1. 病毒详情：
   
2. 风险路径：mem://5532-0xe7ca712d-0x400000-C:\Windows\System32\cmd.exe, 病毒名：Backdoor/Remcos.k, 病毒ID：ca6d276341e73d30, 处理结果：处理成功，进程已结束
   
3. 风险路径：mem://8120-0xed8caa6d-0x400000-C:\Program Files (x86)\Windows Mail\wab.exe, 病毒名：Backdoor/Remcos.k, 病毒ID：ca6d276341e73d30, 处理结果：处理失败，SFC进程未处理
   

复制代码

X-Sec
扫描：8x

1. ---------------------
   
2. 2024/03/25 22:55:27 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\TurtleSUSP-240325\TS-240325-01-AgentTesla-1d7506.exe -- [rame-rdm.msil2] Malware.Obfus/MSIL@AI.89
   
3. 2024/03/25 22:55:27 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\TurtleSUSP-240325\TS-240325-02-AgentTesla-e626ed.vbs -- [rame-cloud] Trojan.SAgent/VBS!8.132D5
   
4. 2024/03/25 22:55:29 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\TurtleSUSP-240325\TS-240325-05-AgentTesla-6237c5.exe -- [rame-rdm.msil2] Malware.Obfus/MSIL@AI.80
   
5. 2024/03/25 22:55:29 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\TurtleSUSP-240325\TS-240325-06-AgentTesla-57e0e2.exe -- [rame-rdm.msil2] Malware.Obfus/MSIL@AI.90
   
6. 2024/03/25 22:55:30 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\TurtleSUSP-240325\TS-240325-07-AgentTesla-471b96.exe -- [rame-rdm.msil2] Malware.Obfus/MSIL@AI.89
   
7. 2024/03/25 22:55:31 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\TurtleSUSP-240325\TS-240325-09-BlankGrabber-4874df.exe -- [rame-classic] Spyware.Agent/PYC!1.EA8F
   
8. 2024/03/25 22:55:32 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\TurtleSUSP-240325\TS-240325-10-LokiBot(GULoader)-a2e04a.exe -- [rame-cloud] Trojan.Injector/NSIS!8.1294D
   
9. 2024/03/25 22:55:32 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\TurtleSUSP-240325\TS-240325-11-Remcos-e9482b.exe -- [rame-cloud] Trojan.Fsysna!8.5F2
   

复制代码

puxinqin

解压，AVAST杀10，EMSI杀1，全灭

祸兮福所倚

10X剩1

swizzer

DI all.

anxiety520

Kaspersky...Virus Removal Tool 10/11

GDHJDSYDH

EIS清空