21x （5.9）

显示全部楼层 · 发表于 2024-5-9 21:21:25

本帖最后由 Fadouse 于 2024-5-9 21:33 编辑

Kaspersky + ESET + ManageEngine Executed&Scanned Miss 1x(word.exe)

扫描miss word.exe + perl530.dll
rundll32.exe perl530.dll,Runperl 卡巴斯基UDS Kill perl530.dll

word.exe 双击后自退，无注入行为（等待10分钟,仅一次外联）

目标IP+端口 134.175.64.69:63080

word.exe情报：
https://s.threatbook.com/report/ ... a9c71aa324ef62b5886
https://www.virustotal.com/gui/f ... a9c71aa324ef62b5886

https://www.hybrid-analysis.com/sample/b3c84c14bb34ee46aa1c596f90abbf9d2efa519ffe18da9c71aa324ef62b5886

显示全部楼层 · 发表于 2024-5-9 22:03:27

avast免费版扫描+双击共miss 7.5x
其中一个样本云沙箱判定正常但是黑名单阻断了连接

显示全部楼层 · 发表于 2024-5-9 22:04:41

火绒：

病毒库时间：2024-05-09 19:10
开始时间：2024-05-09 21:56
总计用时：00:00:36
扫描对象：656
扫描文件：21
发现风险：10
已处理风险：0
病毒详情：
风险路径：C:\Compressed\2024年度员工体检-爱康国宾体检中心体检方案-人力资源部.exe, 病毒名：Backdoor/CobaltStrike.iw, 病毒ID：2a4392f190acc8c6, 处理结果：暂不处理
风险路径：C:\Compressed\result4.exe, 病毒名：TrojanDownloader/Lotok.ae, 病毒ID：d958325eee91fcb5, 处理结果：暂不处理
风险路径：C:\Compressed\Check.exe, 病毒名：Backdoor/W64.Meterpreter.b, 病毒ID：039db99588a1e0ee, 处理结果：暂不处理
风险路径：C:\Compressed\result3.exe, 病毒名：Backdoor/W64.CobaltStrike.bp, 病毒ID：b7f74593ec22018c, 处理结果：暂不处理
风险路径：C:\Compressed\result1.exe, 病毒名：Backdoor/W64.CobaltStrike.bp, 病毒ID：b7f74593ec22018c, 处理结果：暂不处理
风险路径：C:\Compressed\登录操作查询系统 (2).exe, 病毒名：HEUR:VirTool/Obfuscator.gen!C, 病毒ID：09f7c74f7afee22c, 处理结果：暂不处理
风险路径：C:\Compressed\xm17.exe, 病毒名：Trojan/W64.Injector.bc, 病毒ID：f18e44a429c99988, 处理结果：暂不处理
风险路径：C:\Compressed\perl530.dll, 病毒名：ADV:Virus/W64.Generic!meteor, 病毒ID：4557085bba3293b0, 处理结果：暂不处理
风险路径：C:\Compressed\名单表格.exe, 病毒名：ADV:VirTool/Obfuscator!meteor, 病毒ID：b6b4d4a297409986, 处理结果：暂不处理
风险路径：C:\Compressed\电脑端查询入口.exe, 病毒名：ADV:VirTool/Obfuscator!meteor, 病毒ID：b6b4d4a297409986, 处理结果：暂不处理

复制代码

内存防护：
xm17.exe

病毒名称：Backdoor/CobaltStrike.l
病毒ID：7E662B652271E28F
虚拟地址：0x0000000000370000
映像大小：4.0KB
是否完整映像：否
数据流哈希：a77dfd68
操作结果：已处理
进程ID：6500
操作进程：C:\Windows\explorer.exe
操作进程命令行：explorer.exe
父进程ID：6164
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE

复制代码

result1.exe

病毒名称：Backdoor/CobaltStrike.l
病毒ID：7E662B652271E28F
虚拟地址：0x0000000074360000
映像大小：4.0KB
是否完整映像：否
数据流哈希：7d6ba3fa
操作结果：已处理
进程ID：10028
操作进程：C:\Compressed\result1.exe
操作进程命令行："C:\Compressed\result1.exe"
父进程ID：6164
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE

复制代码

result3.exe

病毒名称：Backdoor/CobaltStrike.l
病毒ID：7E662B652271E28F
虚拟地址：0x000000007FA30000
映像大小：4.0KB
是否完整映像：否
数据流哈希：641caae8
操作结果：已处理
进程ID：1812
操作进程：C:\Compressed\result3.exe
操作进程命令行："C:\Compressed\result3.exe"
父进程ID：6164
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE

复制代码

GitHub加速器.exe

发现风险：3
已处理风险：3
病毒详情：
风险路径：mem://10536-0xa9349f1d-0xb30000-C:\Compressed\GitHub加速器.exe, 病毒名：Trojan/W64.Injector.a, 病毒ID：87b34b49e31fc204, 处理结果：处理成功，进程已结束
风险路径：mem://10536-0xa9349f1d-0xfd0000-C:\Compressed\GitHub加速器.exe, 病毒名：Trojan/W64.Injector.a, 病毒ID：87b34b49e31fc204, 处理结果：处理失败，进程结束失败
风险路径：mem://10536-0xa9349f1d-0x2d70000-C:\Compressed\GitHub加速器.exe, 病毒名：HackTool/Meterpreter.i, 病毒ID：b5e02a8f4459a8ee, 处理结果：处理失败，进程结束失败

复制代码

显示全部楼层 · 发表于 2024-5-9 22:10:44

本帖最后由 yeahnangua 于 2024-5-9 22:13 编辑

word.exe elastic defend拦截Potential Evasion via Invalid Code Signature , 威胁使用技术报
Defense Evasion
Process Injection
Masquerading
bd 报 Trojan.GenericKD.72689326

显示全部楼层 · 发表于 2024-5-9 22:33:16

病毒名称：Backdoor/CobaltStrike.l
病毒ID：7E662B652271E28F
虚拟地址：0x000000009B6E0000
映像大小：4.0KB
是否完整映像：否
数据流哈希：31519c45
操作结果：已处理
进程ID：9684
操作进程：C:\Compressed\sqgnb1\sqgnb.exe
操作进程命令行："C:\Compressed\sqgnb1\sqgnb.exe"
父进程ID：3236
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE

复制代码

显示全部楼层 · 发表于 2024-5-9 23:10:30

显示全部楼层 · 发表于 2024-5-9 23:39:39

金山毒霸 23点扫描7个，剩余已反馈

显示全部楼层 · 发表于 2024-5-10 08:03:50

360 with 鲲鹏，扫描 11x

显示全部楼层 · 发表于 2024-5-10 11:44:52

本帖最后由 1094947421 于 2024-5-10 11:45 编辑

当前时间11:45，红伞旧版15x，毒霸16x

显示全部楼层 · 发表于 2024-5-10 18:06:20

Dr.Web kill 1x 似乎是启发

[病毒样本] 21x （5.9）

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源