QQ群新鲜出炉，铁定是银狐。

显示全部楼层 · 发表于 2024-5-15 15:31:46

沧桑浪子发表于 2024-5-15 10:27
infected

卡饭样本区，压缩包有密码，楼主不公布的话，那就是默认的 infected

谢谢

显示全部楼层 · 发表于 2024-5-15 18:56:22

BD Kill
HyperDetect 机器学习检测到威胁. 文件已移动到隔离区。D:\Projects\样本\QQÈºÐÂÏÊ³öÂ¯\表格6005.exe 是恶意软件 Gen:Illusion.Wrangler.2.36.2.2010200

显示全部楼层 · 发表于 2024-5-15 19:52:03

WSCS DG拦截

显示全部楼层 · 发表于 2024-5-15 23:14:29

显示全部楼层 · 发表于 2024-5-16 08:13:45

。。。。。。。这个厉害

显示全部楼层 · 发表于 2024-5-16 09:50:21

看着楼上网友发的名称，有的报下载器？
直接双击有没有下载动作？

显示全部楼层 · 发表于 2024-5-16 11:29:28

EAV KILL
时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
5/16/2024 11:27:29 AM;文件系统实时防护;文件;D:\download\QQÈºÐÂÏÊ³öÂ¯\表格6005.exe;Win64/ShellcodeRunner.XY 特洛伊木马的变量;已通过删除清除;DESKTOP-755AOAG\BLOOD;在通过应用程序创建的新文件上发生了事件: C:\Program Files\7-Zip\7zG.exe (6DAB8C3822A0CAB5B621FD2B7F16AEBB159BCB56).;310F18B3CD73E29699FC2E26F93A1FD3238179A2;5/16/2024 11:27:25 AM

显示全部楼层 · 发表于 2024-5-16 11:56:59

本帖最后由 modern3 于 2024-5-16 11:58 编辑

这种东西通过文件名看后缀，就不需要再拿杀软来测试了。。。没有任何意义。但是前提是电脑不要图美观，把后缀名给隐藏了。

显示全部楼层 · 发表于 2024-5-16 13:26:49

红伞入库了

显示全部楼层 · 发表于 2024-5-16 13:51:18

本帖最后由安全测评于 2024-5-16 13:52 编辑

这个不是新的，出现过好几次了：都是尝试注入到explorer，然后下载QQGames.exe白+黑利用，再设置OnDrive启动项为隐藏目录的lnk文件来持久化。
第一步拦截注入explorer后，后续的行为基本就不会触发了，都选择信任后，然后得出详细的行为如下：

[病毒样本] QQ群新鲜出炉，铁定是银狐。

本帖子中包含更多资源

本帖子中包含更多资源