收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 FakeAPP 15X
12下一页
返回列表 发新帖
查看: 1331|回复: 11
收起左侧

[病毒样本] FakeAPP 15X

[复制链接]
hsks
发表于 2024-6-11 23:28:27 | 显示全部楼层 |阅读模式
本帖最后由 hsks 于 2024-6-11 23:58 编辑

有些样本套路一样
.jpg改为.zip
草,不小心把正常软件塞里面了(
SignalSetup.exe是白,请剔除

https://f.ws59.cn/f/ec05gkkpsx6
https://www.123pan.com/s/FJUmjv-MPqN.html
https://pan.huang1111.cn/s/qaG9f3

评分

参与人数 2人气 +6 收起 理由
UNknownOoo + 3
神龟Turmi + 3 搓搓猫头

查看全部评分

回复

举报

soaringmz
发表于 2024-6-12 00:04:56 | 显示全部楼层
WD miss all
(好大的包)
回复

举报

真小读者
发表于 2024-6-12 00:20:56 | 显示全部楼层
eset 4X

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

心醉咖啡
发表于 2024-6-12 08:26:54 | 显示全部楼层
火绒5

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

1094947421
发表于 2024-6-12 10:02:53 | 显示全部楼层
华为1x


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

莒县小哥
发表于 2024-6-12 10:56:51 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

UNknownOoo
发表于 2024-6-12 11:40:00 | 显示全部楼层
本帖最后由 UNknownOoo 于 2024-6-12 12:15 编辑

火绒
运行:MISS 1x
CloudChat-CN.msi -> 内存防护拦截
  1. 防护项目:启动项
  2. 操作类型:修改
  3. 数据内容:C:\Users\Public\Update\Python\pythonw.exe C:\Users\Public\update\python\python39.jpg
  4. 目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sefdome
  5. 操作结果:已允许
  6. 进程ID:9868
  7. 操作进程:C:\Users\ADMINI~1\AppData\Local\Temp\pss9CBF.ps1
  8. 操作进程命令行: -NoProfile -Noninteractive -ExecutionPolicy Bypass -File "C:\Users\ADMINI~1\AppData\Local\Temp\pss9CBF.ps1" -propFile "C:\Users\ADMINI~1\AppData\Local\Temp\msi9CBC.txt" -scriptFile "C:\Users\ADMINI~1\AppData\Local\Temp\scr9CBD.ps1" -scriptArgsFile "C:\Users\ADMINI~1\AppData\Local\Temp\scr9CBE.txt" -propSep " :<->: " -testPrefix "_testValue."
  9. 父进程ID:5332
  10. 父进程:C:\Windows\SysWOW64\msiexec.exe
  11. 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding 8967E5C0163001D581C2EA7C62CC1A4B

  13. 病毒名称:Backdoor/Farfli.ky
  14. 病毒ID:6CEF251BDB13B635
  15. 虚拟地址:0x0000000010000000
  16. 映像大小:9.5MB
  17. 是否完整映像:否
  18. 数据流哈希:7bd034a2
  19. 操作结果:已处理
  20. 进程ID:4688
  21. 操作进程:C:\Users\Public\update\Python\pythonw.exe
  22. 操作进程命令行:"C:\Users\Public\Update\Python\pythonw.exe" C:\Users\Public\update\python\python39.jpg
  23. 父进程ID:9868
  24. 父进程:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  25. 父进程命令行: -NoProfile -Noninteractive -ExecutionPolicy Bypass -File "C:\Users\ADMINI~1\AppData\Local\Temp\pss9CBF.ps1" -propFile "C:\Users\ADMINI~1\AppData\Local\Temp\msi9CBC.txt" -scriptFile "C:\Users\ADMINI~1\AppData\Local\Temp\scr9CBD.ps1" -scriptArgsFile "C:\Users\ADMINI~1\AppData\Local\Temp\scr9CBE.txt" -propSep " :<->: " -testPrefix "_testValue."
复制代码

i4Tools-Setup-installer-LDZ.msi -> 内存防护拦截
  1. 防护项目:系统任务目录
  2. 目标文件:C:\Windows\System32\Tasks\AHK
  3. 操作结果:已允许
  4. 进程ID:1396
  5. 操作进程:C:\Windows\System32\svchost.exe
  6. 操作进程命令行:C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule
  7. 父进程ID:812
  8. 父进程:C:\Windows\System32\services.exe
  9. 父进程命令行:C:\Windows\system32\services.exe

  11. 病毒名称:Backdoor/Lotok.fs
  12. 病毒ID:C284CCDE13F78515
  13. 虚拟地址:0x0000000003880000
  14. 映像大小:136KB
  15. 是否完整映像:否
  16. 数据流哈希:559d205c
  17. 操作结果:已处理
  18. 进程ID:6736
  19. 操作进程:C:\Users\Public\Music\python\pythonw.exe
  20. 操作进程命令行:C:\Users\Public\Music\python\pythonw.exe  C:\Users\Public\Music\python\qd.jpg
  21. 父进程ID:2384
  22. 父进程:C:\Windows\System32\cmd.exe
  23. 父进程命令行:C:\Windows\system32\cmd.exe /c start C:\Users\Public\Music\python\pythonw.exe C:\Users\Public\Music\python\qd.jpg&del C:\Users\Public\Music\python\py.zip
复制代码

LineInst.msi -> 内存防护拦截
  1. 防护项目:启动项
  2. 操作类型:修改
  3. 数据内容:C:\Users\Public\Update\Python\pythonw.exe C:\Users\Public\update\python\python39.jpg
  4. 目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\sefdome
  5. 操作结果:已允许
  6. 进程ID:7336
  7. 操作进程:C:\Users\ADMINI~1\AppData\Local\Temp\pssDDD5.ps1
  8. 操作进程命令行: -NoProfile -Noninteractive -ExecutionPolicy Bypass -File "C:\Users\ADMINI~1\AppData\Local\Temp\pssDDD5.ps1" -propFile "C:\Users\ADMINI~1\AppData\Local\Temp\msiDDD2.txt" -scriptFile "C:\Users\ADMINI~1\AppData\Local\Temp\scrDDD3.ps1" -scriptArgsFile "C:\Users\ADMINI~1\AppData\Local\Temp\scrDDD4.txt" -propSep " :<->: " -testPrefix "_testValue."
  9. 父进程ID:2360
  10. 父进程:C:\Windows\SysWOW64\msiexec.exe
  11. 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding E35CBD3461073B6BE144620D7626947A E Global\MSI0000

  13. 病毒名称:Backdoor/Farfli.ky
  14. 病毒ID:6CEF251BDB13B635
  15. 虚拟地址:0x0000000010000000
  16. 映像大小:9.5MB
  17. 是否完整映像:否
  18. 数据流哈希:6fe12487
  19. 操作结果:已处理
  20. 进程ID:1592
  21. 操作进程:C:\Users\Public\update\Python\pythonw.exe
  22. 操作进程命令行:"C:\Users\Public\Update\Python\pythonw.exe" C:\Users\Public\update\python\python39.jpg
  23. 父进程ID:7336
  24. 父进程:C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  25. 父进程命令行: -NoProfile -Noninteractive -ExecutionPolicy Bypass -File "C:\Users\ADMINI~1\AppData\Local\Temp\pssDDD5.ps1" -propFile "C:\Users\ADMINI~1\AppData\Local\Temp\msiDDD2.txt" -scriptFile "C:\Users\ADMINI~1\AppData\Local\Temp\scrDDD3.ps1" -scriptArgsFile "C:\Users\ADMINI~1\AppData\Local\Temp\scrDDD4.txt" -propSep " :<->: " -testPrefix "_testValue."
复制代码

signal.msi -> 内存防护拦截
  1. 病毒名称:Backdoor/Farfli.ky
  2. 病毒ID:6CEF251BDB13B635
  3. 虚拟地址:0x0000000010000000
  4. 映像大小:9.5MB
  5. 是否完整映像:否
  6. 数据流哈希:f8ac1d7d
  7. 操作结果:已处理
  8. 进程ID:2576
  9. 操作进程:C:\Users\Public\update\Python\pythonw.exe
  10. 操作进程命令行:"C:\Users\Public\Update\Python\pythonw.exe" C:\Users\Public\update\python\python39.jpg
  11. 父进程ID:6388
  12. 父进程:C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  13. 父进程命令行: -NoProfile -Noninteractive -ExecutionPolicy Bypass -File "C:\Users\ADMINI~1\AppData\Local\Temp\pss6967.ps1" -propFile "C:\Users\ADMINI~1\AppData\Local\Temp\msi6954.txt" -scriptFile "C:\Users\ADMINI~1\AppData\Local\Temp\scr6955.ps1" -scriptArgsFile "C:\Users\ADMINI~1\AppData\Local\Temp\scr6966.txt" -propSep " :<->: " -testPrefix "_testValue."
复制代码

SignalProSetup.exe -> 内存防护拦截
  1. 病毒名称:Backdoor/Lotok.fs
  2. 病毒ID:C284CCDE13F78515
  3. 虚拟地址:0x0000000003620000
  4. 映像大小:140KB
  5. 是否完整映像:否
  6. 数据流哈希:37f98efc
  7. 操作结果:已处理
  8. 进程ID:4632
  9. 操作进程:C:\Users\Administrator\AppData\Local\Programs\SignalPro-desktop\resources\zelevate_vfdbg.updater.exe
  10. 操作进程命令行:"C:\Users\Administrator\AppData\Local\Programs\SignalPro-desktop\resources\zelevate_vfdbg.updater.exe"
  11. 父进程ID:8860
  12. 父进程:C:\Users\Administrator\AppData\Local\Temp\is-1LD5L.tmp\SignalProSetup.tmp
  13. 父进程命令行:"C:\Users\ADMINI~1\AppData\Local\Temp\is-1LD5L.tmp\SignalProSetup.tmp" /SL5="$90734,123789241,1064448,C:\Users\Administrator\Desktop\6.11.zip_2\SignalProSetup.exe"
复制代码

SMS接码.msi -> 内存防护拦截但是没有阻断进程,手动内存扫描后终止
  1. 病毒名称:Backdoor/Ghost.ba
  2. 病毒ID:D3B84EA0D02A7FC4
  3. 虚拟地址:0x00000000027B0000
  4. 映像大小:584KB
  5. 是否完整映像:是
  6. 数据流哈希:7ec8c19c
  7. 操作结果:已处理
  8. 进程ID:3032
  9. 操作进程:C:\Program Files\Windows Defenderr\xfH5Wz2Ibz\WsTaskLoad.exe
  10. 操作进程命令行:"C:\Program Files\Windows Defenderr\xfH5Wz2Ibz\WsTaskLoad.exe"
  11. 父进程ID:6680
  12. 父进程:C:\Windows\SysWOW64\msiexec.exe
  13. 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding FABD8D12E5BC850D9B8C99D1CEBED94E E Global\MSI0000
复制代码
  1. 扫描对象:3626
  2. 扫描文件:1371
  3. 发现风险:2
  4. 已处理风险:2
  5. 病毒详情:
  6. 风险路径:mem://7276-0xfbd6e5d3-0x3250000-C:\Users\Public\Documents\TaskLoad.exe, 病毒名:Backdoor/Ghost.ba, 病毒ID:d3b84ea0d02a7fc4, 处理结果:处理成功,进程已结束
  7. 风险路径:mem://7276-0xfbd6e5d3-0x34f0000-C:\Users\Public\Documents\TaskLoad.exe, 病毒名:Backdoor/Farfli.cn, 病毒ID:85af2cb75c315a5e, 处理结果:处理失败,进程结束失败
复制代码



TG-CN.msi -> 内存防护拦截
  1. 病毒名称:Backdoor/Farfli.ky
  2. 病毒ID:6CEF251BDB13B635
  3. 虚拟地址:0x0000000010000000
  4. 映像大小:9.5MB
  5. 是否完整映像:否
  6. 数据流哈希:61f331d4
  7. 操作结果:已处理
  8. 进程ID:10064
  9. 操作进程:C:\Users\Public\update\Python\pythonw.exe
  10. 操作进程命令行:"C:\Users\Public\Update\Python\pythonw.exe" C:\Users\Public\update\python\python39.jpg
  11. 父进程ID:5060
  12. 父进程:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  13. 父进程命令行: -NoProfile -Noninteractive -ExecutionPolicy Bypass -File "C:\Users\ADMINI~1\AppData\Local\Temp\pss347B.ps1" -propFile "C:\Users\ADMINI~1\AppData\Local\Temp\msi3478.txt" -scriptFile "C:\Users\ADMINI~1\AppData\Local\Temp\scr3479.ps1" -scriptArgsFile "C:\Users\ADMINI~1\AppData\Local\Temp\scr347A.txt" -propSep " :<->: " -testPrefix "_testValue."
复制代码



WeChatSetu.msi -> 手动内存扫描检出
  1. 防护项目:启动项
  2. 操作类型:修改
  3. 数据内容:C:\hoxynb\Agghosts.exe
  4. 目标注册表:HKEY_USERS\S-1-5-21-2555528855-4037978411-3127993368-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\驱动生
  5. 操作结果:已允许
  6. 进程ID:10016
  7. 操作进程:C:\hoxynb\Agghosts.exe
  8. 操作进程命令行:"C:\hoxynb\Agghosts.exe" 67
  9. 父进程ID:5468
  10. 父进程:C:\Windows\explorer.exe
  11. 父进程命令行:C:\Windows\Explorer.EXE

  13. 防护项目:防火墙注册表项
  14. 操作类型:修改
  15. 数据内容:0x00000000 (0)
  16. 目标注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\EnableFirewall
  17. 操作结果:已允许
  18. 进程ID:3152
  19. 操作进程:C:\Windows\System32\svchost.exe
  20. 操作进程命令行:C:\Windows\system32\svchost.exe -k LocalServiceNoNetworkFirewall -p
  21. 父进程ID:812
  22. 父进程:C:\Windows\System32\services.exe
  23. 父进程命令行:C:\Windows\system32\services.exe
复制代码
  1. 总计用时:00:00:03
  2. 扫描对象:2309
  3. 扫描文件:1308
  4. 发现风险:1
  5. 已处理风险:1
  6. 病毒详情:
  7. 风险路径:mem://10016-0xa2d767a1-0x2fc0000-C:\hoxynb\Agghosts.exe, 病毒名:Backdoor/Lotok.fr, 病毒ID:66d33fc54803b220, 处理结果:处理成功,进程已结束
复制代码



WhatsApp-CN.msi -> 内存防护拦截
  1. 病毒名称:Backdoor/Farfli.ky
  2. 病毒ID:6CEF251BDB13B635
  3. 虚拟地址:0x0000000010000000
  4. 映像大小:9.5MB
  5. 是否完整映像:否
  6. 数据流哈希:61bb0f88
  7. 操作结果:已处理
  8. 进程ID:4828
  9. 操作进程:C:\Users\Public\update\Python\pythonw.exe
  10. 操作进程命令行:"C:\Users\Public\Update\Python\pythonw.exe" C:\Users\Public\update\python\python39.jpg
  11. 父进程ID:1276
  12. 父进程:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  13. 父进程命令行: -NoProfile -Noninteractive -ExecutionPolicy Bypass -File "C:\Users\ADMINI~1\AppData\Local\Temp\pss61F.ps1" -propFile "C:\Users\ADMINI~1\AppData\Local\Temp\msi60C.txt" -scriptFile "C:\Users\ADMINI~1\AppData\Local\Temp\scr60D.ps1" -scriptArgsFile "C:\Users\ADMINI~1\AppData\Local\Temp\scr60E.txt" -propSep " :<->: " -testPrefix "_testValue."
复制代码



xiuxiu-Setup-installer-LDZ.msi (这个有利用AntoHotKey)-> 内存防护拦截
  1. 病毒名称:Backdoor/Lotok.fs
  2. 病毒ID:C284CCDE13F78515
  3. 虚拟地址:0x0000000000400000
  4. 映像大小:136KB
  5. 是否完整映像:否
  6. 数据流哈希:46d8b7eb
  7. 操作结果:已处理
  8. 进程ID:1888
  9. 操作进程:C:\Users\Public\Music\python\pythonw.exe
  10. 操作进程命令行:C:\Users\Public\Music\python\pythonw.exe  C:\Users\Public\Music\python\qd.jpg
  11. 父进程ID:5264
  12. 父进程:C:\Windows\System32\cmd.exe
  13. 父进程命令行:C:\Windows\system32\cmd.exe /c start C:\Users\Public\Music\python\pythonw.exe C:\Users\Public\Music\python\qd.jpg&del C:\Users\Public\Music\python\py.zip

  15. 病毒名称:Backdoor/Lotok.fr
  16. 病毒ID:66D33FC54803B220
  17. 虚拟地址:0x0000000004840000
  18. 映像大小:224KB
  19. 是否完整映像:否
  20. 数据流哈希:46d8b7eb
  21. 操作结果:已处理
  22. 进程ID:1888
  23. 操作进程:C:\Users\Public\Music\python\pythonw.exe
  24. 操作进程命令行:C:\Users\Public\Music\python\pythonw.exe  C:\Users\Public\Music\python\qd.jpg
  25. 父进程ID:5264
  26. 父进程:C:\Windows\System32\cmd.exe
  27. 父进程命令行:C:\Windows\system32\cmd.exe /c start C:\Users\Public\Music\python\pythonw.exe C:\Users\Public\Music\python\qd.jpg&del C:\Users\Public\Music\python\py.zip
复制代码



YoudaoDict_faoi.msi -> 内存防护拦截
  1. 病毒名称:Backdoor/Lotok.fs
  2. 病毒ID:C284CCDE13F78515
  3. 虚拟地址:0x0000000000400000
  4. 映像大小:136KB
  5. 是否完整映像:否
  6. 数据流哈希:e0ae364d
  7. 操作结果:已处理
  8. 进程ID:7572
  9. 操作进程:C:\Users\Public\Music\python\pythonw.exe
  10. 操作进程命令行:C:\Users\Public\Music\python\pythonw.exe  C:\Users\Public\Music\python\qd.jpg
  11. 父进程ID:2080
  12. 父进程:C:\Windows\System32\cmd.exe
  13. 父进程命令行:C:\Windows\system32\cmd.exe /c start C:\Users\Public\Music\python\pythonw.exe C:\Users\Public\Music\python\qd.jpg&del C:\Users\Public\Music\python\py.zip

  15. 病毒名称:Backdoor/Lotok.fr
  16. 病毒ID:66D33FC54803B220
  17. 虚拟地址:0x0000000004CF0000
  18. 映像大小:224KB
  19. 是否完整映像:否
  20. 数据流哈希:e0ae364d
  21. 操作结果:已处理
  22. 进程ID:7572
  23. 操作进程:C:\Users\Public\Music\python\pythonw.exe
  24. 操作进程命令行:C:\Users\Public\Music\python\pythonw.exe  C:\Users\Public\Music\python\qd.jpg
  25. 父进程ID:2080
  26. 父进程:C:\Windows\System32\cmd.exe
  27. 父进程命令行:C:\Windows\system32\cmd.exe /c start C:\Users\Public\Music\python\pythonw.exe C:\Users\Public\Music\python\qd.jpg&del C:\Users\Public\Music\python\py.zip
复制代码



youdaoFanyiYd.msi -> 内存防护拦截但未阻断,手动内存扫描后终止
  1. 病毒名称:Backdoor/Ghost.ba
  2. 病毒ID:D3B84EA0D02A7FC4
  3. 虚拟地址:0x0000000003220000
  4. 映像大小:584KB
  5. 是否完整映像:是
  6. 数据流哈希:e0be2d57
  7. 操作结果:已处理
  8. 进程ID:4328
  9. 操作进程:C:\Program Files\Windows Defenderr\xfXQDsTtBz\WsTaskLoad.exe
  10. 操作进程命令行:"C:\Program Files\Windows Defenderr\xfXQDsTtBz\WsTaskLoad.exe"
  11. 父进程ID:3432
  12. 父进程:C:\Windows\SysWOW64\msiexec.exe
  13. 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding 67F3B8BD85CEC2AFBDC9A667642C019D E Global\MSI0000
复制代码
  1. 总计用时:00:00:13
  2. 扫描对象:2349
  3. 扫描文件:1308
  4. 发现风险:2
  5. 已处理风险:2
  6. 病毒详情:
  7. 风险路径:mem://6504-0xd43226df-0x27d0000-C:\Users\Public\Documents\TaskLoad.exe, 病毒名:Backdoor/Ghost.ba, 病毒ID:d3b84ea0d02a7fc4, 处理结果:处理成功,进程已结束
  8. 风险路径:mem://6504-0xd43226df-0x3330000-C:\Users\Public\Documents\TaskLoad.exe, 病毒名:Backdoor/Farfli.cn, 病毒ID:85af2cb75c315a5e, 处理结果:处理失败,进程结束失败
复制代码



短信接码客户端-安装包.exe -> MISS(衍生物手动运行没跑起来)
  1. 病毒详情:
  2. 风险路径:C:\Program Files (x86)\短信接码客户端\GPUCache\php-win.exe, 病毒名:ADV:TrojanDownloader/Generic!meteor, 病毒ID:a540286dfdaab915, 处理结果:暂不处理
复制代码



评分

参与人数 1人气 +3 收起 理由
隔山打空气 + 3

查看全部评分

回复

举报

hsks
 楼主| 发表于 2024-6-12 11:59:49 | 显示全部楼层
UNknownOoo 发表于 2024-6-12 11:40
火绒
运行:
CloudChat-CN.msi -> 内存防护拦截

国产特色是这样的(

评分

参与人数 1人气 +3 收起 理由
UNknownOoo + 3 叹气.jpg

查看全部评分

回复

举报

biue
发表于 2024-6-12 23:14:35 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

yaokai815
发表于 2024-6-13 17:46:31 | 显示全部楼层
本帖最后由 yaokai815 于 2024-6-14 15:58 编辑

360 kill all  瑞星kill 1x  卡巴kill 6x

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-15 13:47 , Processed in 0.118701 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表