8x (5.7)

显示全部楼层 · 发表于 2024-5-7 18:37:26

https://wwt.lanzouq.com/iErqg1y0a36f

显示全部楼层 · 发表于 2024-5-7 18:48:03

时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
2024-05-07 18:46:49;文件系统实时防护;文件;C:\Users\Administrator\AppData\Local\Temp\Rar$DRb20692.10401.rartemp\cl1ient_setup32116.exe;Win64/TrojanDownloader.Agent.EJ 特洛伊木马的变量;已通过删除清除;WIN-20231015UHO\Administrator;在通过应用程序创建的新文件上发生了事件: D:\Program Files\WinRAR\WinRAR.exe (D056B6168003DE6BF3B6892895861D213F0B0693).;088AE0858D9C3CFEBCCD68D9EFC308ADD9DE5E08;2024-05-07 18:46:35
2024-05-07 18:46:52;文件系统实时防护;文件;C:\Users\Administrator\AppData\Local\Temp\Rar$DRb20692.10401.rartemp\setup表格6051.exe;Win64/TrojanDownloader.Agent.EJ 特洛伊木马的变量;已通过删除清除;WIN-20231015UHO\Administrator;在通过应用程序创建的新文件上发生了事件: D:\Program Files\WinRAR\WinRAR.exe (D056B6168003DE6BF3B6892895861D213F0B0693).;64AA17DE5EAE8C4C955DA310C898C8C20E3AFC77;2024-05-07 18:46:35
2024-05-07 18:47:12;文件系统实时防护;文件;C:\Users\Administrator\Desktop\名录册公示-终端o.exe;Suspicious Object;已通过删除清除;WIN-20231015UHO\Administrator;尝试通过应用程序访问文件时发生事件: C:\Windows\System32\dllhost.exe (C521025C55687C1F29B1F3A3C69B3D152CE84981).;0B39268EE4CF9EBBC348C459ED563F83A65EB4B5;2024-05-07 18:46:35

复制代码

显示全部楼层 · 发表于 2024-5-7 18:50:15

本帖最后由莒县小哥于 2024-5-7 18:59 编辑

沙盒内双击

【1】2024-05-07 18:56:44,病毒防护,内存防护,发现病毒HEUR:Trojan/Injector.al, 已处理

病毒名称：HEUR:Trojan/Injector.al
病毒ID：DF7084F31846617A
虚拟地址：0x0000000002170000
映像大小：1.0MB
是否完整映像：否
数据流哈希：5b512b5c
操作结果：已处理
进程ID：1856
操作进程：C:\Users\WDAGUtilityAccount\Desktop\cl1ient_setup32116.exe
操作进程命令行："C:\Users\WDAGUtilityAccount\Desktop\cl1ient_setup32116.exe"
父进程ID：3880
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2024-05-07 18:56:19,病毒防护,内存防护,发现病毒Backdoor/CobaltStrike.l, 已处理

病毒名称：Backdoor/CobaltStrike.l
病毒ID：7E662B652271E28F
虚拟地址：0x0000000010C60000
映像大小：4.0KB
是否完整映像：否
数据流哈希：9f7ce7cf
操作结果：已处理
进程ID：2568
操作进程：C:\Users\WDAGUtilityAccount\AppData\Local\Temp\RarSFX0\shishicai.exe
操作进程命令行："C:\Users\WDAGUT~1\AppData\Local\Temp\RarSFX0\shishicai.exe"
父进程ID：6952
父进程：C:\Users\WDAGUtilityAccount\Desktop\Refl‮fdp.exe
父进程命令行："C:\Users\WDAGUtilityAccount\Desktop\Refl‮fdp.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2024-05-07 18:56:11,病毒防护,文件实时监控,发现病毒TrojanDownloader/Lotok.ag, 已处理

病毒名称：TrojanDownloader/Lotok.ag
病毒ID：F2084E4931556E52
病毒路径：C:\Users\WDAGUtilityAccount\Desktop\名录册公示-终端o.exe
操作类型：执行
操作结果：已处理，删除文件

进程ID：3188
操作进程：C:\Windows\explorer.exe
操作进程命令行：C:\Windows\Explorer.EXE
父进程ID：3880
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

显示全部楼层 · 发表于 2024-5-7 18:52:39

本帖最后由 Fadouse 于 2024-5-7 19:31 编辑

Kaspersky + ESET + ManageEngine + IDefender冰盾 Executed + Scanned Miss 1x(aes加密.exe)

Kaspersky Kill 2x
ESET Kill 2x
ManageEngine Kill 2x(一个Refl_fdp.exe释放物)
IDefender冰盾 1x (远程线程注入)

ManageEngine更新后好像变猛了
aes加密.exe在本机运行解密shellcode失败，无法加载shellcode

Event: Malicious object detected
User: LAPTOP\Fadouse
User type: Initiator
Application name: explorer.exe
Application path: C:\Windows
Component: File Anti-Virus
Result description: Detected
Type: Trojan
Name: UDS:Trojan-Downloader.Win32.Agent
Precision: Exactly
Threat level: High
Object type: File
Object name: 名录册公示-终端o.exe
Object path: E:\Code\Virus
MD5 of an object: 5A09F202AC5258AA33FF3F0E21D2B6B7
Reason: Cloud Protection

Event: Malicious object detected
User: LAPTOP\Fadouse
User type: Initiator
Application name: explorer.exe
Application path: C:\Windows
Component: File Anti-Virus
Result description: Detected
Type: Trojan
Name: Trojan.Win32.Inject.apzfr
Precision: Exactly
Threat level: High
Object type: File
Object name: setup查看6001.exe
Object path: E:\Code\Virus
MD5 of an object: 0A31329B6172776635649AB5005C4671
Reason: Databases
Databases release date: Today, 5/7/2024 2:09:00 PM

Time;Scanner;Object type;Object;Detection;Action;User;Information;Hash;First seen here
5/7/2024 6:47:32 PM;Real-time file system protection;file;E:\Code\Virus\cl1ient_setup32116.exe;a variant of Win64/TrojanDownloader.Agent.EJ trojan;cleaned by deleting;LAPTOP\Fadouse;Event occurred on a new file created by the application: C:\Program Files\Bandizip\Bandizip.exe (AB7C5C3728A1B132444C69A31DA61541F2BF4B25).;088AE0858D9C3CFEBCCD68D9EFC308ADD9DE5E08;5/7/2024 6:25:18 PM

5/7/2024 6:47:32 PM;Real-time file system protection;file;E:\Code\Virus\setup表格6051.exe;a variant of Win64/TrojanDownloader.Agent.EJ trojan;cleaned by deleting;LAPTOP\Fadouse;Event occurred on a new file created by the application: C:\Program Files\Bandizip\Bandizip.exe (AB7C5C3728A1B132444C69A31DA61541F2BF4B25).;64AA17DE5EAE8C4C955DA310C898C8C20E3AFC77;5/7/2024 6:24:23 PM

显示全部楼层 · 发表于 2024-5-7 19:08:56

本帖最后由 784696777 于 2024-5-7 19:13 编辑

卡巴怎么隔着密码杀这个包？
类型: 木马
名称: HEUR:Trojan.Multi.Generic
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: 8x.zip

解压后扫描
名称: UDS:Trojan-Downloader.Win32.Agent
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: 名录册公示-终端o.exe

名称: Trojan.Win32.Inject.apzfr
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: setup查看6001.exe

双击
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\Jaffer\Desktop\8x
对象名称: Refl_fdp.exe
原因: 行为分析

剩余5个

显示全部楼层 · 发表于 2024-5-7 19:33:01

Avira 扫描4个

显示全部楼层 · 发表于 2024-5-7 19:36:24

显示全部楼层 · 发表于 2024-5-7 19:46:38

elastic defend 解压kill all

显示全部楼层 · 发表于 2024-5-7 20:57:26

本帖最后由 dght432 于 2024-5-7 21:05 编辑

垃圾卡巴怎么连加密压缩包也杀

显示全部楼层 · 发表于 2024-5-7 21:12:18

本帖最后由 DisaPDB 于 2024-5-7 23:12 编辑

360 EPP扫描6x

看了一下其中一个miss的
主函数&功能部分

检测杀软部分

强制关机？这个样本好熟悉……

[病毒样本] 8x (5.7)

评分

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

浏览过的版块