15x（4.25）

UNknownOoo

https://wwt.lanzouq.com/iHoyM1wgc31g

沧桑浪子

360杀毒扫描日志

病毒库日期：2024-04-25
扫描时间：2024-04-25 16:18:45
扫描用时：00:00:17
扫描类型：右键扫描
扫描文件总数：15
项目总数：15
清除项目数：15

扫描选项
----------------------
扫描所有文件：是
扫描压缩包：是
发现病毒处理方式：由用户选择处理
扫描磁盘引导区：是
扫描 Rootkit：是
使用云查杀引擎：是
使用QVM人工智能引擎：是
扫描建议修复项：否
常规引擎设置：未使用

扫描内容
----------------------
F:\360SANDBOX\SHADOW\04\15x


白名单设置
----------------------


扫描结果
======================
高危风险项
----------------------
F:\360SANDBOX\SHADOW\04\15x\143666666666.exe        木马程序(Trojan.Generic)        已删除
F:\360SANDBOX\SHADOW\04\15x\go_compile.exe        木马程序(Trojan.Generic)        已删除
F:\360SANDBOX\SHADOW\04\15x\CN-Invoice-945413571-XXXXX6856-231205373570760.exe        木马程序(Trojan.Generic)        已删除
F:\360SANDBOX\SHADOW\04\15x\loader.exe        木马程序(Trojan.Generic)        已删除
F:\360SANDBOX\SHADOW\04\15x\REDpassHelper.exe        木马程序(Trojan.Generic)        已删除
F:\360SANDBOX\SHADOW\04\15x\Redis实例1d36156b-4731-4d5c-ac44-12483a9e32f7无法访问互联网的报错等信息截图.exe        木马程序(Trojan.Generic)        已删除
F:\360SANDBOX\SHADOW\04\15x\smTools.exe        木马程序(Trojan.Generic)        已删除
F:\360SANDBOX\SHADOW\04\15x\setup_6016.exe        木马程序(Trojan.Generic)        已删除
F:\360SANDBOX\SHADOW\04\15x\[1]分行季度资产采购项目咨询书——2024年3月份版本.exe        木马程序(Trojan.Generic)        已删除
F:\360SANDBOX\SHADOW\04\15x\[内网测试样本]4月份涉税财会人员征信拉黑名单如下.exe        木马程序(Trojan.Generic)        已删除
F:\360SANDBOX\SHADOW\04\15x\上讯堡垒安全审计平台客户端_4.0.6367.61_chrome_setup.exe        木马程序(Trojan.Generic)        已删除
F:\360SANDBOX\SHADOW\04\15x\体检人员登记表-请勿外传.exe        木马程序(Trojan.Generic)        已删除
F:\360SANDBOX\SHADOW\04\15x\财务人员加班补助申请.exe        木马程序(Trojan.Generic)        已删除
F:\360SANDBOX\SHADOW\04\15x\阿里巴巴人才招聘.exe        木马程序(Trojan.Generic)        已删除
F:\360SANDBOX\SHADOW\04\15x\[2]风险管理岗位——张宇飞——个人简历.exe        木马程序(Trojan.Generic)        已删除



可疑文件上传结果
----------------------
f:\360sandbox\shadow\04\15x\[1]分行季度资产采购项目咨询书——2024年3月份版本.exe        上传成功
f:\360sandbox\shadow\04\15x\[2]风险管理岗位——张宇飞——个人简历.exe        上传成功
f:\360sandbox\shadow\04\15x\go_compile.exe        上传成功
f:\360sandbox\shadow\04\15x\redis实例1d36156b-4731-4d5c-ac44-12483a9e32f7无法访问互联网的报错等信息截图.exe        上传成功
f:\360sandbox\shadow\04\15x\redpasshelper.exe        上传成功
f:\360sandbox\shadow\04\15x\smtools.exe        上传成功
f:\360sandbox\shadow\04\15x\上讯堡垒安全审计平台客户端_4.0.6367.61_chrome_setup.exe        上传成功

莒县小哥

Fadouse

ESET + Kaspersky + ManageEngine Kill 14x
Miss 阿里巴巴人才招聘.exe
双击均在沙箱内双击，可能影响杀毒软件检测

Kaspersky

1. Event: Malicious object detected
   
2. Application: REDpassHelper.exe
   
3. User: LAPTOP\Fadouse
   
4. User type: Initiator
   
5. Component: System Watcher
   
6. Result description: Detected
   
7. Type: Trojan
   
8. Name: PDM:Trojan.Win32.Generic
   
9. Threat level: High
   
10. Object type: Process
    
11. Object path: E:\Code\Virus
    
12. Object name: REDpassHelper.exe
    
13. Reason: Behavior analysis
    
14. Databases release date: Today, 4/25/2024 7:31:00 AM
    
15. MD5: 4EA278E24EAD1D95EBE3E2751B29A83E
    
16. Event: Malicious object detected
    
17. User: LAPTOP\Fadouse
    
18. User type: Initiator
    
19. Application name: explorer.exe
    
20. Application path: C:\Windows
    
21. Component: File Anti-Virus
    
22. Result description: Detected
    
23. Type: Trojan
    
24. Name: HEUR:Trojan.Win32.Agentb.gen
    
25. Precision: Exactly
    
26. Threat level: High
    
27. Object type: File
    
28. Object name: 上讯堡垒安全审计平台客户端_4.0.6367.61_chrome_setup.exe
    
29. Object path: E:\Code\Virus
    
30. MD5 of an object: 64A78633D4FCA2FE1D0E0BA6E28CF5E2
    
31. Reason: Expert analysis
    
32. Databases release date: Today, 4/25/2024 7:31:00 AM
    
33. Event: Malicious object detected
    
34. User: LAPTOP\Fadouse
    
35. User type: Initiator
    
36. Application name: explorer.exe
    
37. Application path: C:\Windows
    
38. Component: File Anti-Virus
    
39. Result description: Detected
    
40. Type: Trojan
    
41. Name: HEUR:Trojan.Win64.Goshell.gen
    
42. Precision: Heuristic Analysis
    
43. Threat level: High
    
44. Object type: File
    
45. Object name: go_compile.exe
    
46. Object path: E:\Code\Virus
    
47. MD5 of an object: AF52E4D8385F507F44AD05A19981CD44
    
48. Reason: Expert analysis
    
49. Databases release date: Today, 4/25/2024 7:31:00 AM
    
50. Event: Malicious object detected
    
51. User: LAPTOP\Fadouse
    
52. User type: Initiator
    
53. Application name: explorer.exe
    
54. Application path: C:\Windows
    
55. Component: File Anti-Virus
    
56. Result description: Detected
    
57. Type: Trojan
    
58. Name: UDS:Trojan.Win32.CobaltStrike
    
59. Precision: Exactly
    
60. Threat level: High
    
61. Object type: File
    
62. Object name: [1]分行季度资产采购项目咨询书——2024年3月份版本.exe
    
63. Object path: E:\Code\Virus
    
64. MD5 of an object: 6D28ED7BC75A2D93B3CBBAB7D7735849
    
65. Reason: Cloud Protection
    
66. Event: Malicious object detected
    
67. User: LAPTOP\Fadouse
    
68. User type: Initiator
    
69. Application name: explorer.exe
    
70. Application path: C:\Windows
    
71. Component: File Anti-Virus
    
72. Result description: Detected
    
73. Type: Trojan
    
74. Name: UDS:Trojan.Win32.CobaltStrike
    
75. Precision: Exactly
    
76. Threat level: High
    
77. Object type: File
    
78. Object name: [2]风险管理岗位——张宇飞——个人简历.exe
    
79. Object path: E:\Code\Virus
    
80. MD5 of an object: F75A337C92652BB1C8289BE959A45E6A
    
81. Reason: Cloud Protection

复制代码

ESET

1. Time;Scanner;Object type;Object;Detection;Action;User;Information;Hash;First seen here
   
2. 4/25/2024 4:34:11 PM;Real-time file system protection;file;E:\Code\Virus\财务人员加班补助申请.exe;a variant of Win32/Farfli.DCO trojan;cleaned by deleting;LAPTOP\Fadouse;Event occurred on a new file created by the application: C:\Program Files\Bandizip\Bandizip.exe (AB7C5C3728A1B132444C69A31DA61541F2BF4B25).;C8B3E1BE3F3CB7ED3110918858597086CA4BE2CC;4/25/2024 12:24:44 PM
   
3. 4/25/2024 4:34:11 PM;Real-time file system protection;file;E:\Code\Virus\Redis实例1d36156b-4731-4d5c-ac44-12483a9e32f7无法访问互联网的报错等信息截图.exe;Python/Rozena.KT trojan;cleaned by deleting;LAPTOP\Fadouse;Event occurred on a new file created by the application: C:\Program Files\Bandizip\Bandizip.exe (AB7C5C3728A1B132444C69A31DA61541F2BF4B25).;DC11FDB8025ECFAA5014FF2433FE0C19B20D70D4;
   
4. 4/25/2024 4:34:12 PM;Real-time file system protection;file;E:\Code\Virus\[内网测试样本]4月份涉税财会人员征信拉黑名单如下.exe;a variant of Win64/Spy.Agent.GF trojan;cleaned by deleting;LAPTOP\Fadouse;Event occurred on a new file created by the application: C:\Program Files\Bandizip\Bandizip.exe (AB7C5C3728A1B132444C69A31DA61541F2BF4B25).;DFDEC9CD164127291F3284DE59482B8BE29638E6;4/25/2024 3:11:34 PM
   
5. 4/25/2024 4:34:12 PM;Real-time file system protection;file;E:\Code\Virus\143666666666.exe;a variant of Win32/Agent_AGen.CYV trojan;cleaned by deleting;LAPTOP\Fadouse;Event occurred on a new file created by the application: C:\Program Files\Bandizip\Bandizip.exe (AB7C5C3728A1B132444C69A31DA61541F2BF4B25).;598E0244F089AF9E45C64B4EFA09DD953B4DCD83;4/25/2024 12:30:15 PM
   
6. 4/25/2024 4:34:12 PM;Real-time file system protection;file;E:\Code\Virus\setup_6016.exe;a variant of Win64/TrojanDownloader.Agent.ASS trojan;cleaned by deleting;LAPTOP\Fadouse;Event occurred on a new file created by the application: C:\Program Files\Bandizip\Bandizip.exe (AB7C5C3728A1B132444C69A31DA61541F2BF4B25).;97B8CACC4A22245984279F1A3A9969352BFC0133;4/25/2024 12:28:08 PM
   
7. 4/25/2024 4:34:12 PM;Real-time file system protection;file;E:\Code\Virus\CN-Invoice-945413571-XXXXX6856-231205373570760.exe;a variant of MSIL/Kryptik.ALME trojan;cleaned by deleting;LAPTOP\Fadouse;Event occurred on a new file created by the application: C:\Program Files\Bandizip\Bandizip.exe (AB7C5C3728A1B132444C69A31DA61541F2BF4B25).;C15FC5369392B823F6133A0E2509BF4775417ABF;4/25/2024 3:08:45 PM
   
8. 
   
9. Time;URL;Status;Detection;Application;User;IP address;Hash
   
10. 4/25/2024 4:37:18 PM;http://sqsw.pturesoft.cn:8081/group1/default/20240415/09/10/6/083f994cf521a5a6920d1cfbc50670a7.html;Blocked;Internal IP blacklist;C:\Program Files\Clash Verge\clash-meta.exe;NT AUTHORITY\SYSTEM;49.89.45.90;99DA00A5E40CF1B6501329E2D05B10CCE4571271
    

复制代码

ManageEngine

学雷锋做人

ESET本地引擎模块 scanner，版本 29121 (20240425)，内部版本号 61285

静态扫描 6/15（4是3的子类）

scottxzt

AVIRA 静态 11，双击运行2   13 / 15
AVIRA和ESET同意的毛病，既然检测出连接恶意网站，主体为啥不隔离呢?

偶偶偶114514

eset+hmpa动静剩余“阿里巴巴人才招聘.exe”

偶偶偶114514

scottxzt 发表于 2024-4-25 17:31
AVIRA 静态 11，双击运行2   13 / 15
AVIRA和ESET同意的毛病，既然检测出连接恶意网站，主体为啥不隔离呢? ...

浏览器也隔离（？

chlong

加油加油加油

DisaPDB

火绒6（高级启发关闭） 扫描2x

1. 病毒库时间：2024-04-24 18:05
   
2. 开始时间：2024-04-25 18:22
   
3. 总计用时：00:00:12
   
4. 扫描对象：354
   
5. 扫描文件：15
   
6. 发现风险：2
   
7. 已处理风险：0
   
8. 病毒详情：
   
9. 风险路径：C:\Users\Administrator\Desktop\15x\go_compile.exe, 病毒名：Backdoor/CobaltStrike.il, 病毒ID：b870a85617697bc9, 处理结果：暂不处理
   
10. 风险路径：C:\Users\Administrator\Desktop\15x\财务人员加班补助申请.exe, 病毒名：Trojan/ShellLoader.ko, 病毒ID：8af899d5e9896605, 处理结果：暂不处理
    

复制代码

高级启发开启 扫描5x

1. 病毒库时间：2024-04-24 18:05
   
2. 开始时间：2024-04-25 18:24
   
3. 总计用时：00:00:10
   
4. 扫描对象：351
   
5. 扫描文件：15
   
6. 发现风险：5
   
7. 已处理风险：0
   
8. 病毒详情：
   
9. 风险路径：C:\Users\Administrator\Desktop\15x\CN-Invoice-945413571-XXXXX6856-231205373570760.exe, 病毒名：ADV:VirTool/MSIL.Obfuscator!meteor, 病毒ID：9b3fa4092c57ea79, 处理结果：暂不处理
   
10. 风险路径：C:\Users\Administrator\Desktop\15x\go_compile.exe, 病毒名：Backdoor/CobaltStrike.il, 病毒ID：b870a85617697bc9, 处理结果：暂不处理
    
11. 风险路径：C:\Users\Administrator\Desktop\15x\REDpassHelper.exe, 病毒名：ADV:TrojanDownloader/Generic!meteor, 病毒ID：a540286dfdaab915, 处理结果：暂不处理
    
12. 风险路径：C:\Users\Administrator\Desktop\15x\上讯堡垒安全审计平台客户端_4.0.6367.61_chrome_setup.exe, 病毒名：ADV:VirTool/Obfuscator!meteor, 病毒ID：b6b4d4a297409986, 处理结果：暂不处理
    
13. 风险路径：C:\Users\Administrator\Desktop\15x\财务人员加班补助申请.exe, 病毒名：Trojan/ShellLoader.ko, 病毒ID：8af899d5e9896605, 处理结果：暂不处理
    

复制代码

误报下来了，检测率也下来了