查看: 1041|回复: 22
收起左侧

[病毒样本] FakeAPP 15X

[复制链接]
hsks
发表于 3 天前 | 显示全部楼层 |阅读模式
本帖最后由 hsks 于 2024-6-11 00:09 编辑

常回家看看(
话说小半年没发FakeAPP了,不知道FakeAPP是不是还在啃老本(
明天就消失潜水去了(
请把.jpg改为.zip
不保证都能成功运行
欢迎分流

https://f.ws59.cn/f/ebpwmx0yene
https://www.123pan.com/s/FJUmjv-nGqN.html
https://pan.huang1111.cn/s/WQAyi3

评分

参与人数 5人气 +12 收起 理由
神龟Turmi + 3 搓搓猫头
莒县小哥 + 3 版区有你更精彩: )
真小读者 + 1 好家伙1.9G
UNknownOoo + 3 几日不见,甚是想念qwq
GreatMOLA + 2 哈萨克斯!哈基米哈基米哈基米哈基米哈基米.

查看全部评分

UNknownOoo
发表于 3 天前 | 显示全部楼层
本帖最后由 UNknownOoo 于 2024-6-11 00:31 编辑

火绒6(关闭高级启发式扫描
扫描:特征 6x  (实际3x)
  1. 扫描文件:15
  2. 发现风险:6
  3. 已处理风险:6
  4. 病毒详情:
  5. 风险路径:C:\Users\Administrator\Desktop\610\Potato-ZH_CN-Deskto_5.0.8.msi, 病毒名:Trojan/Injector.bhp, 病毒ID:8907d00f9644703e, 处理结果:已处理,删除文件
  6. 风险路径:C:\Users\Administrator\Desktop\610\telegram-TG-zw_5.0.8.msi, 病毒名:TrojanDownloader/Maloader.o, 病毒ID:c9840b021be42302, 处理结果:已处理,删除文件
  7. 风险路径:C:\Users\Administrator\Desktop\610\PPT_WPS-offce_WINX64_008.msi, 病毒名:Trojan/VBS.Runner.o, 病毒ID:c06987ab1ab9107f, 处理结果:已处理,删除文件
  8. 风险路径:C:\Users\Administrator\Desktop\610\telegram-TG-zw_5.0.8.msi >> exe, 病毒名:TrojanDownloader/Maloader.o, 病毒ID:c9840b021be42302, 处理结果:已处理,删除文件
  9. 风险路径:C:\Users\Administrator\Desktop\610\PPT_WPS-offce_WINX64_008.msi >> _6B0BAC02BA7041F79ADC5EA5C46E6E9F, 病毒名:Backdoor/Lotok.el, 病毒ID:3c0dc113c827c913, 处理结果:已处理,删除文件
  10. 风险路径:C:\Users\Administrator\Desktop\610\Potato-ZH_CN-Deskto_5.0.8.msi >> P.exe, 病毒名:Trojan/Injector.bhp, 病毒ID:8907d00f9644703e, 处理结果:已处理,删除文件
复制代码
运行:9x(包含手动运行内存扫描)
WPS Office_12.1.0.exe -> MISS
  1. 防护项目:关闭UAC
  2. 操作类型:修改
  3. 数据内容:0x00000000 (0)
  4. 目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  5. 操作结果:已允许
  6. 进程ID:7424
  7. 操作进程:C:\Windows\SysWOW64\msiexec.exe
  8. 操作进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding ED1478E355BD650F481BE270AD6CFB99
  9. 父进程ID:8696
  10. 父进程:C:\Windows\System32\msiexec.exe
  11. 父进程命令行:C:\Windows\system32\msiexec.exe /V

  12. 防护项目:服务/驱动配置项
  13. 操作类型:修改
  14. 数据内容:C:\Program Files (x86)\Common Files\microsoft shared\VGX\OTGContainer.exe
  15. 目标注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Zosqjg0380b10lch\ImagePath
  16. 操作结果:已允许
  17. 进程ID:808
  18. 操作进程:C:\Windows\System32\services.exe
  19. 操作进程命令行:C:\Windows\system32\services.exe
  20. 父进程ID:664
  21. 父进程:C:\Windows\System32\wininit.exe
  22. 父进程命令行:wininit.exe

  23. 防护项目:系统目录
  24. 目标文件:C:\Windows\SysWOW64\XSecurite.exe
  25. 操作结果:已允许
  26. 进程ID:2840
  27. 操作进程:C:\Program Files (x86)\Common Files\Microsoft Shared\VGX\Haloonoroff.exe
  28. 操作进程命令行:"C:\Program Files (x86)\Common Files\microsoft shared\VGX\Haloonoroff.exe"
  29. 父进程ID:2128
  30. 父进程:C:\Users\Default\Desktop\CkNKTPJWMOBO\yybob\Bor32-update-flase.exe
  31. 父进程命令行:"C:\Users\Default\Desktop\CkNKTPJWMOBO\yybob\Bor32-update-flase.exe"
复制代码





WeChatSetu.msi -> 手动内存扫描检出

  1. 防护项目:启动项
  2. 操作类型:修改
  3. 数据内容:C:\kwjhtd\Agghosts.exe
  4. 目标注册表:HKEY_USERS\S-1-5-21-2555528855-4037978411-3127993368-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\驱动生
  5. 操作结果:已允许
  6. 进程ID:5852
  7. 操作进程:C:\kwjhtd\Agghosts.exe
  8. 操作进程命令行:"C:\kwjhtd\Agghosts.exe" 67
  9. 父进程ID:5684
  10. 父进程:C:\Windows\explorer.exe
  11. 父进程命令行:C:\Windows\Explorer.EXE

  12. 防护项目:防火墙注册表项
  13. 操作类型:修改
  14. 数据内容:0x00000000 (0)
  15. 目标注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\EnableFirewall
  16. 操作结果:已允许
  17. 进程ID:3376
  18. 操作进程:C:\Windows\System32\svchost.exe
  19. 操作进程命令行:C:\Windows\system32\svchost.exe -k LocalServiceNoNetworkFirewall -p
  20. 父进程ID:808
  21. 父进程:C:\Windows\System32\services.exe
  22. 父进程命令行:C:\Windows\system32\services.exe
复制代码
  1. 开始时间:2024-06-10 23:58
  2. 总计用时:00:00:05
  3. 扫描对象:2398
  4. 扫描文件:1343
  5. 发现风险:2
  6. 已处理风险:2
  7. 病毒详情:
  8. 风险路径:mem://5852-0xcc41ff39-0x2780000-C:\kwjhtd\Agghosts.exe, 病毒名:Backdoor/Lotok.fr, 病毒ID:66d33fc54803b220, 处理结果:处理成功,进程已结束
  9. 风险路径:mem://5852-0xcc41ff39-0x2900000-C:\kwjhtd\Agghosts.exe, 病毒名:Backdoor/Lotok.fr, 病毒ID:66d33fc54803b220, 处理结果:处理失败,进程结束失败
复制代码



PPT_WPS-offce_WINX64_008.msi -> 拉黑两枚衍生物
  1. 病毒名称:Trojan/Generic!9283A18FA93ECDB9
  2. 病毒ID:9283A18FA93ECDB9
  3. 病毒路径:C:\Program Files\Windows Defenderr\1
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件

  6. 病毒名称:Trojan/Generic!9283A18FA93ECDB9
  7. 病毒ID:9283A18FA93ECDB9
  8. 病毒路径:C:\Program Files\Windows Defenderr\Phone.exe
  9. 操作类型:修改
  10. 操作结果:已处理,删除文件
复制代码


sougou_pinyin_14.5b.msi -> MISS


enigma.msi -> MISS



enigmasetup223.msi -> 捉衍生物
  1. 防护项目:特殊系统目录
  2. 目标文件:C:\Program Files\1.exe
  3. 操作结果:已允许
  4. 进程ID:7876
  5. 操作进程:C:\Windows\Installer\MSIB56E.tmp
  6. 操作进程命令行:"C:\Windows\Installer\MSIB56E.tmp"
  7. 父进程ID:8696
  8. 父进程:C:\Windows\System32\msiexec.exe
  9. 父进程命令行:C:\Windows\system32\msiexec.exe /V

  10. 病毒名称:HVM:Trojan/MalBehav.gen!G
  11. 病毒ID:EE33171609E5DC92
  12. 病毒路径:C:\Program Files\2.exe
  13. 操作类型:修改
  14. 操作结果:已处理,删除文件
复制代码


telegram-TG-zw_5.0.8.msi -> 特征捉衍生物
  1. 病毒名称:TrojanDownloader/Maloader.o
  2. 病毒ID:C9840B021BE42302
  3. 病毒路径:C:\Users\Administrator\AppData\Roaming\Taxsex64\telegram\tdata\emoji\9011.exe
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件

  6. 病毒名称:TrojanDownloader/Maloader.o
  7. 病毒ID:C9840B021BE42302
  8. 病毒路径:C:\Windows\Installer\MSI5CC6.tmp
  9. 操作类型:修改
  10. 操作结果:已处理,删除文件
复制代码


MosGram.msi -> 特征捉衍生物
  1. 防护项目:服务/驱动配置项
  2. 操作类型:修改
  3. 数据内容:"C:\Program Files (x86)\Jastin\MosGram\MosGram\resources\wwstsvc.exe" user svc
  4. 目标注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MosGramNew\ImagePath
  5. 操作结果:已允许
  6. 进程ID:808
  7. 操作进程:C:\Windows\System32\services.exe
  8. 操作进程命令行:C:\Windows\system32\services.exe
  9. 父进程ID:664
  10. 父进程:C:\Windows\System32\wininit.exe
  11. 父进程命令行:wininit.exe

  12. 病毒名称:Backdoor/Lotok.dhk
  13. 病毒ID:41F59E09E9A85A58
  14. 病毒路径:C:\Program Files (x86)\Jastin\MosGram\MosGram\resources\WWStartupCtrl64.dll
  15. 操作类型:修改
  16. 操作结果:已处理,删除文件
复制代码

mielpor.exe -> 拉黑衍生物
  1. 防护项目:服务/驱动配置项
  2. 操作类型:修改
  3. 数据内容:C:\Program Files (x86)\Common Files\microsoft shared\VGX\OTGContainer.exe
  4. 目标注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ZBJCOptimization\ImagePath
  5. 操作结果:已允许
  6. 进程ID:808
  7. 操作进程:C:\Windows\System32\services.exe
  8. 操作进程命令行:C:\Windows\system32\services.exe
  9. 父进程ID:664
  10. 父进程:C:\Windows\System32\wininit.exe
  11. 父进程命令行:wininit.exe

  12. 病毒名称:Trojan/Generic!A5B1BB0B93549A43
  13. 病毒ID:A5B1BB0B93549A43
  14. 病毒路径:C:\Program Files (x86)\Common Files\Microsoft Shared\VGX\libmini.dll
  15. 操作类型:修改
  16. 操作结果:已处理,删除文件
复制代码


paopao.msi -> MISS


MeiqiaWinLast.msi -> 内存&实时文件监控捉衍生物
  1. 病毒名称:Trojan/FakeDll.v
  2. 病毒ID:D4F68021E553E959
  3. 虚拟地址:0x000000006E820000
  4. 映像大小:1.6MB
  5. 是否完整映像:是
  6. 数据流哈希:13be6864
  7. 操作结果:已处理
  8. 进程ID:4124
  9. 操作进程:C:\ProgramData\iusb3mon.exe
  10. 操作进程命令行:"C:\ProgramData\iusb3mon.exe" false
  11. 父进程ID:5204
  12. 父进程:C:\Windows\SysWOW64\msiexec.exe
  13. 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding 6B75DDDC6D682D74C38FC4ADEFC16C4F

  14. 病毒名称:Trojan/FakeDll.v
  15. 病毒ID:D4F68021E553E959
  16. 病毒路径:C:\ProgramData\qbcore.dll
  17. 操作类型:修改
  18. 操作结果:已处理,删除文件

  19. 防护项目:系统任务目录
  20. 目标文件:C:\Windows\System32\Tasks\Windows Connection Manager(Windows网络连接管理服务)
  21. 操作结果:已允许
  22. 进程ID:1448
  23. 操作进程:C:\Windows\System32\svchost.exe
  24. 操作进程命令行:C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule
  25. 父进程ID:808
  26. 父进程:C:\Windows\System32\services.exe
  27. 父进程命令行:C:\Windows\system32\services.exe
复制代码


Potato-ZH_CN-Deskto_5.0.8.msi ->特征捉衍生物
  1. 病毒名称:Trojan/Injector.bhp
  2. 病毒ID:8907D00F9644703E
  3. 病毒路径:C:\Windows\Installer\MSI3BB1.tmp
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件

  6. 病毒名称:Trojan/Injector.bhp
  7. 病毒ID:8907D00F9644703E
  8. 病毒路径:C:\Users\Administrator\AppData\Roaming\Potato\plugin\P.exe
  9. 操作类型:修改
  10. 操作结果:已处理,删除文件
复制代码



PotatoInstaller.msi -> MISS
  1. 防护项目:系统默认程序
  2. 操作类型:修改
  3. 数据内容:"C:\Users\Administrator\AppData\Roaming\Potato\PotatoApp.exe" -workdir "C:/Users/Administrator/AppData/Roaming/Potato/" -- "%1"
  4. 目标注册表:HKEY_USERS\S-1-5-21-2555528855-4037978411-3127993368-500_Classes\pt\shell\open\command\
  5. 操作结果:已允许
  6. 进程ID:10140
  7. 操作进程:C:\Users\Administrator\AppData\Roaming\Potato\PotatoApp.exe
  8. 操作进程命令行:"C:\Users\Administrator\AppData\Roaming\Potato\PotatoApp.exe" -noupdate
  9. 父进程ID:6552
  10. 父进程:C:\Users\Administrator\AppData\Roaming\Potato\PotatoApp.exe
  11. 父进程命令行:"C:\Users\Administrator\AppData\Roaming\Potato\PotatoApp.exe"

  12. 防护类型:麦克风保护
  13. 操作结果:已允许
  14. 进程ID:10140
  15. 操作进程:C:\Users\Administrator\AppData\Roaming\Potato\PotatoApp.exe
  16. 操作进程命令行:"C:\Users\Administrator\AppData\Roaming\Potato\PotatoApp.exe" -noupdate
复制代码


lets[过滤]-setup.exe (2).exe -> 可能的虚拟环境检测,无法运行

wsp.exe -> 内存特征捉
  1. 病毒名称:Backdoor/Farfli.bo
  2. 病毒ID:D054CE08A1374E02
  3. 虚拟地址:0x0000000001430000
  4. 映像大小:256KB
  5. 是否完整映像:否
  6. 数据流哈希:5020e0ab
  7. 操作结果:已处理
  8. 进程ID:4688
  9. 操作进程:C:\Program Files\ghsaduguas\金山文檔精靈  更智能 更懂你\VST.exe
  10. 操作进程命令行:"C:\Program Files\ghsaduguas\金山文檔精靈  更智能 更懂你\VST.exe"
  11. 父进程ID:7628
  12. 父进程:C:\Windows\SysWOW64\msiexec.exe
  13. 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding A98B3EFA3AFA9B1E7814F4BDB3901EF2 C

  14. 防护项目:启动项
  15. 操作类型:修改
  16. 数据内容:"C:\Program Files\ghsaduguas\金山文檔精靈  更智能 更懂你\VST.exe"
  17. 目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BCcuzzE
  18. 操作结果:已允许
  19. 进程ID:4688
  20. 操作进程:C:\Program Files\ghsaduguas\金山文檔精靈  更智能 更懂你\VST.exe
  21. 操作进程命令行:"C:\Program Files\ghsaduguas\金山文檔精靈  更智能 更懂你\VST.exe"
  22. 父进程ID:7628
  23. 父进程:C:\Windows\SysWOW64\msiexec.exe
  24. 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding A98B3EFA3AFA9B1E7814F4BDB3901EF2 C
复制代码

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3人气 +7 收起 理由
喀反 + 3 版区有你更精彩: )
Picca + 1 测试辛苦了
hsks + 3

查看全部评分

秋日之殇
发表于 3 天前 | 显示全部楼层
流量不足了
莒县小哥
发表于 3 天前 | 显示全部楼层

WD杀3枚

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
hsks
 楼主| 发表于 3 天前 | 显示全部楼层

所以我跪求分流
马上会有123网盘的,但这也有流量费(
hsks
 楼主| 发表于 前天 00:13 | 显示全部楼层
UNknownOoo 发表于 2024-6-10 23:53
火绒6(关闭高级启发式扫描
扫描:特征 6x  (实际3x)
运行:6x(包含手动运行内存扫描)

delayed是什么意思(

2G网络刚通,不知道火绒出了6.0(

UNknownOoo
发表于 前天 00:17 | 显示全部楼层
hsks 发表于 2024-6-11 00:13
delayed是什么意思(

2G网络刚通,不知道火绒出了6.0(

后续补上结果...

某些样本动态跑了之后可能写了注册表还是有判断逻辑什么的,导致别的别的安装包跑不起来了
也是因为懒的跑一个样本还原一次机器
hsks
 楼主| 发表于 前天 00:29 | 显示全部楼层
UNknownOoo 发表于 2024-6-11 00:17
后续补上结果...

某些样本动态跑了之后可能写了注册表还是有判断逻辑什么的,导致别的别的安装包跑不 ...

看了结果,评价是先前不杀的还是不杀,先前杀的还是杀(
784696777
发表于 前天 00:33 | 显示全部楼层
本帖最后由 784696777 于 2024-6-11 02:48 编辑

卡巴扫描剩余11个
双击剩余7个
安装成功6个
部分安装过程中或安装完成有报毒提示,但不清楚是否处理干净

UNknownOoo
发表于 前天 00:34 | 显示全部楼层
hsks 发表于 2024-6-11 00:29
看了结果,评价是先前不杀的还是不杀,先前杀的还是杀(

是这样的,别对6.0报太大期待,目前看来还是依托(
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-6-13 19:43 , Processed in 0.139437 second(s), 23 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表