收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 FakeAPP 18X
12下一页
返回列表 发新帖
查看: 1743|回复: 10
收起左侧

[病毒样本] FakeAPP 18X

[复制链接]
hsks
发表于 2024-6-12 23:22:51 | 显示全部楼层 |阅读模式
本帖最后由 hsks 于 2024-6-13 00:44 编辑

《2.87GB》(
https://f.ws59.cn/f/ecafej9hmsq
https://www.123pan.com/s/FJUmjv-zPqN.html
https://pan.huang1111.cn/s/Nao4s1

评分

参与人数 4人气 +11 收起 理由
1094947421 + 3
神龟Turmi + 2 搓搓猫头
DisaPDB + 3 welcome back
隔山打空气 + 3

查看全部评分

回复

举报

真小读者
发表于 2024-6-12 23:31:46 | 显示全部楼层
本帖最后由 真小读者 于 2024-6-13 00:14 编辑

eset 7X



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

biue
发表于 2024-6-13 00:50:29 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

1094947421
发表于 2024-6-13 09:39:53 | 显示全部楼层
华为4x


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

莒县小哥
发表于 2024-6-13 10:42:34 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

hsks
 楼主| 发表于 2024-6-13 11:54:42 | 显示全部楼层
感觉包太大了,没人测(
回复

举报

UNknownOoo
发表于 2024-6-13 13:07:37 | 显示全部楼层
本帖最后由 UNknownOoo 于 2024-6-13 13:09 编辑

火绒6
扫描:5x(实际4x)
  1. 总计用时:00:00:58
  2. 扫描对象:12191
  3. 扫描文件:18
  4. 发现风险:5
  5. 已处理风险:5
  6. 病毒详情:
  7. 风险路径:C:\Users\Administrator\Desktop\6.12\SMS接码.msi, 病毒名:Trojan/Generic!1EAF2970E0133BCA, 病毒ID:1eaf2970e0133bca, 处理结果:已处理,删除文件
  8. 风险路径:C:\Users\Administrator\Desktop\6.12\Potato-ZH_CN-Deskto_5.0.8.msi, 病毒名:Trojan/Injector.bhp, 病毒ID:8907d00f9644703e, 处理结果:已处理,删除文件
  9. 风险路径:C:\Users\Administrator\Desktop\6.12\Sogouittplz-ui.msi, 病毒名:Trojan/Generic!1EAF2970E0133BCA, 病毒ID:1eaf2970e0133bca, 处理结果:已处理,删除文件
  10. 风险路径:C:\Users\Administrator\Desktop\6.12\Potato-ZH_CN-Deskto_5.0.8.msi >> P.exe, 病毒名:Trojan/Injector.bhp, 病毒ID:8907d00f9644703e, 处理结果:已处理,删除文件
  11. 风险路径:C:\Users\Administrator\Desktop\6.12\泡泡-v11.5X64位.msi, 病毒名:Trojan/Generic!1EAF2970E0133BCA, 病毒ID:1eaf2970e0133bca, 处理结果:已处理,删除文件
复制代码


运行:
i4Tools8_v8.29_Setup_x64.msi -> MISS


Letstalk.msi -> 特征捉衍生物
  1. 病毒名称:Backdoor/Lotok.dhk
  2. 病毒ID:41F59E09E9A85A58
  3. 病毒路径:C:\Program Files\Letstalk\Letstalk\x64\WWStartupCtrl64.dll
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件
复制代码

letstalk_1.msi - MISS(long sleep)


PaoPao_v1.8.2.exe -> 内存防护捉
  1. 病毒名称:Backdoor/Farfli.ky
  2. 病毒ID:6CEF251BDB13B635
  3. 虚拟地址:0x00000000032E0000
  4. 映像大小:164KB
  5. 是否完整映像:否
  6. 数据流哈希:61a6687c
  7. 操作结果:已处理
  8. 进程ID:2788
  9. 操作进程:C:\Program Files (x86)\泡泡\paopa.exe
  10. 操作进程命令行:"C:\Program Files (x86)\泡泡\paopa.exe"
  11. 父进程ID:7156
  12. 父进程:C:\Program Files (x86)\泡泡\泡泡.exe
  13. 父进程命令行:"C:\Program Files (x86)\泡泡\泡泡.exe"
复制代码

paotop泡泡.exe -> MISS
  1. 防护项目:关闭UAC
  2. 操作类型:修改
  3. 数据内容:0x00000000 (0)
  4. 目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  5. 操作结果:已允许
  6. 进程ID:8992
  7. 操作进程:C:\Windows\SysWOW64\msiexec.exe
  8. 操作进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding 58DB341FE10CD2354F1C7164AA0CBE5E
  9. 父进程ID:6080
  10. 父进程:C:\Windows\System32\msiexec.exe
  11. 父进程命令行:C:\Windows\system32\msiexec.exe /V

  13. 防护项目:服务/驱动配置项
  14. 操作类型:修改
  15. 数据内容:C:\Program Files (x86)\Common Files\microsoft shared\VGX\OTGContainer.exe
  16. 目标注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Zchvxe3cc29bagrj\ImagePath
  17. 操作结果:已允许
  18. 进程ID:812
  19. 操作进程:C:\Windows\System32\services.exe
  20. 操作进程命令行:C:\Windows\system32\services.exe
  21. 父进程ID:660
  22. 父进程:C:\Windows\System32\wininit.exe
  23. 父进程命令行:wininit.exe

  25. 防护项目:系统目录
  26. 目标文件:C:\Windows\SysWOW64\XSecurite.exe
  27. 操作结果:已允许
  28. 进程ID:7596
  29. 操作进程:C:\Program Files (x86)\Common Files\Microsoft Shared\VGX\Haloonoroff.exe
  30. 操作进程命令行:"C:\Program Files (x86)\Common Files\microsoft shared\VGX\Haloonoroff.exe"
  31. 父进程ID:5412
  32. 父进程:C:\Users\Default\Desktop\LhQBTWWIUCLG\yybob\Bor32-update-flase.exe
  33. 父进程命令行:"C:\Users\Default\Desktop\LhQBTWWIUCLG\yybob\Bor32-update-flase.exe"
复制代码


piesohp-Photoshop.exe -> MISS
  1. 防护项目:特殊系统目录
  2. 目标文件:C:\Windows\Fonts\WindowsInstallerHV\1FD821E\022a4fc6c8f96c88WTM.exe
  3. 操作结果:已允许
  4. 进程ID:1988
  5. 操作进程:C:\Users\Administrator\Desktop\piesohp-Photoshop.exe
  6. 操作进程命令行:"C:\Users\Administrator\Desktop\piesohp-Photoshop.exe"
  7. 父进程ID:5428
  8. 父进程:C:\Windows\explorer.exe
  9. 父进程命令行:C:\Windows\Explorer.EXE

  11. 防护项目:特殊系统目录
  12. 目标文件:C:\Windows\Fonts\WindowsInstallerHV\1FD821E\022a4fc6c8f96c88WTM.exe
  13. 操作结果:已允许
  14. 进程ID:1988
  15. 操作进程:C:\Users\Administrator\Desktop\piesohp-Photoshop.exe
  16. 操作进程命令行:"C:\Users\Administrator\Desktop\piesohp-Photoshop.exe"
  17. 父进程ID:5428
  18. 父进程:C:\Windows\explorer.exe
  19. 父进程命令行:C:\Windows\Explorer.EXE

  21. 防护项目:特殊系统目录
  22. 目标文件:C:\Windows\Fonts\WindowsInstallerHV\1FD821E\022a4fc6c8f96c88WTM.exe
  23. 操作结果:已允许
  24. 进程ID:1988
  25. 操作进程:C:\Users\Administrator\Desktop\piesohp-Photoshop.exe
  26. 操作进程命令行:"C:\Users\Administrator\Desktop\piesohp-Photoshop.exe"
  27. 父进程ID:5428
  28. 父进程:C:\Windows\explorer.exe
  29. 父进程命令行:C:\Windows\Explorer.EXE

  31. 防护项目:系统目录
  32. 目标文件:C:\Windows\SysWOW64\XSecurite.exe
  33. 操作结果:已允许
  34. 进程ID:6368
  35. 操作进程:C:\Program Files (x86)\Common Files\Microsoft Shared\VGX\Haloonoroff.exe
  36. 操作进程命令行:"C:\Program Files (x86)\Common Files\microsoft shared\VGX\Haloonoroff.exe"
  37. 父进程ID:2508
  38. 父进程:C:\Users\Default\Desktop\NxEABSDARDEX\yybob\Bor32-update-flase.exe
  39. 父进程命令行:"C:\Users\Default\Desktop\NxEABSDARDEX\yybob\Bor32-update-flase.exe"
复制代码



Signal Foundation安装包.msi -> 特征捉衍生物,但没捉父进程
  1. 病毒名称:Backdoor/Lotok.db
  2. 病毒ID:EF40633B1E27719B
  3. 病毒路径:C:\Users\Administrator\AppData\Local\Temp\vs1cgycj4ijv5ru\spower.exe
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件

  7. 进程ID:6256
  8. 操作进程:C:\Program Files (x86)\Signal\Signal\安装.exe
  9. 操作进程命令行:"C:\Program Files (x86)\Signal\Signal\安装.exe"
  10. 父进程ID:5844
  11. 父进程:C:\Windows\explorer.exe

  13. 病毒名称:Worm/HackShen
  14. 病毒ID:483BAC59191E912E
  15. 病毒路径:C:\ProgramData\NVIDIARV\svchost.exe
  16. 操作类型:修改
  17. 操作结果:已处理,删除文件
复制代码



sogou.exe -> 内存防护捉
  1. 病毒名称:Backdoor/Farfli.bo
  2. 病毒ID:D054CE08A1374E02
  3. 虚拟地址:0x0000000001940000
  4. 映像大小:256KB
  5. 是否完整映像:否
  6. 数据流哈希:18e8672b
  7. 操作结果:已处理
  8. 进程ID:10152
  9. 操作进程:C:\Users\Administrator\AppData\Roaming\AI 输入  新一代更快的新一代Sogou\VST.exe
  10. 操作进程命令行:"C:\Users\Administrator\AppData\Roaming\AI 输入  新一代更快的新一代Sogou\VST.exe"
  11. 父进程ID:6712
  12. 父进程:C:\Windows\SysWOW64\msiexec.exe
  13. 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding D577B974510E73FC399A1690AFBFD801 C

  15. 防护项目:启动项
  16. 操作类型:修改
  17. 数据内容:"C:\Users\Administrator\AppData\Roaming\AI 输入  新一代更快的新一代Sogou\VST.exe"
  18. 目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BCcuzzE
  19. 操作结果:已允许
  20. 进程ID:10152
  21. 操作进程:C:\Users\Administrator\AppData\Roaming\AI 输入  新一代更快的新一代Sogou\VST.exe
  22. 操作进程命令行:"C:\Users\Administrator\AppData\Roaming\AI 输入  新一代更快的新一代Sogou\VST.exe"
  23. 父进程ID:6712
  24. 父进程:C:\Windows\SysWOW64\msiexec.exe
  25. 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding D577B974510E73FC399A1690AFBFD801 C
复制代码

sogou_pinyin_guanwang_14.6b.msi -> MISS


T.G-X64.msi.exe -> 内存捉衍生物
  1. 病毒名称:Backdoor/Farfli.bo
  2. 病毒ID:D054CE08A1374E02
  3. 虚拟地址:0x00000000014E0000
  4. 映像大小:256KB
  5. 是否完整映像:否
  6. 数据流哈希:47cb907c
  7. 操作结果:已处理
  8. 进程ID:7880
  9. 操作进程:C:\Program Files\ghhsraa\漢化小飞机 1.23.0\VST.exe
  10. 操作进程命令行:"C:\Program Files\ghhsraa\漢化小飞机 1.23.0\VST.exe"
  11. 父进程ID:7596
  12. 父进程:C:\Windows\SysWOW64\msiexec.exe
  13. 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding A5D05A194C60A0D78371AECF59EBD8A9 C

  15. 防护项目:启动项
  16. 操作类型:修改
  17. 数据内容:"C:\Program Files\ghhsraa\漢化小飞机 1.23.0\VST.exe"
  18. 目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\usdghHJAdg
  19. 操作结果:已允许
  20. 进程ID:7880
  21. 操作进程:C:\Program Files\ghhsraa\漢化小飞机 1.23.0\VST.exe
  22. 操作进程命令行:"C:\Program Files\ghhsraa\漢化小飞机 1.23.0\VST.exe"
  23. 父进程ID:7596
  24. 父进程:C:\Windows\SysWOW64\msiexec.exe
  25. 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding A5D05A194C60A0D78371AECF59EBD8A9 C
复制代码

TG-ZHCN.msi -> 内存捉衍生物
  1. 防护项目:启动项
  2. 操作类型:修改
  3. 数据内容:C:\Users\Public\Update\Python\pythonw.exe C:\Users\Public\update\python\python39.jpg
  4. 目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sefdome
  5. 操作结果:已允许
  6. 进程ID:900
  7. 操作进程:C:\Users\ADMINI~1\AppData\Local\Temp\pss6818.ps1
  8. 操作进程命令行: -NoProfile -Noninteractive -ExecutionPolicy Bypass -File "C:\Users\ADMINI~1\AppData\Local\Temp\pss6818.ps1" -propFile "C:\Users\ADMINI~1\AppData\Local\Temp\msi6805.txt" -scriptFile "C:\Users\ADMINI~1\AppData\Local\Temp\scr6806.ps1" -scriptArgsFile "C:\Users\ADMINI~1\AppData\Local\Temp\scr6817.txt" -propSep " :<->: " -testPrefix "_testValue."
  9. 父进程ID:8744
  10. 父进程:C:\Windows\SysWOW64\msiexec.exe
  11. 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding E0109CA024FC99083CE5000FEE3FF411

  13. 病毒名称:Backdoor/Farfli.ky
  14. 病毒ID:6CEF251BDB13B635
  15. 虚拟地址:0x0000000010000000
  16. 映像大小:9.5MB
  17. 是否完整映像:否
  18. 数据流哈希:2bdda8ba
  19. 操作结果:已处理
  20. 进程ID:9684
  21. 操作进程:C:\Users\Public\update\Python\pythonw.exe
  22. 操作进程命令行:"C:\Users\Public\Update\Python\pythonw.exe" C:\Users\Public\update\python\python39.jpg
  23. 父进程ID:900
  24. 父进程:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  25. 父进程命令行: -NoProfile -Noninteractive -ExecutionPolicy Bypass -File "C:\Users\ADMINI~1\AppData\Local\Temp\pss6818.ps1" -propFile "C:\Users\ADMINI~1\AppData\Local\Temp\msi6805.txt" -scriptFile "C:\Users\ADMINI~1\AppData\Local\Temp\scr6806.ps1" -scriptArgsFile "C:\Users\ADMINI~1\AppData\Local\Temp\scr6817.txt" -propSep " :<->: " -testPrefix "_testValue."
复制代码

treymtpo.exe -> MISS
  1. 防护项目:特殊系统目录
  2. 目标文件:C:\Windows\Fonts\WindowsInstallerJI\423C014\8265ecbd4b9be41cPQE.exe
  3. 操作结果:已允许
  4. 进程ID:7844
  5. 操作进程:C:\Users\Administrator\Desktop\6.12\treymtpo.exe
  6. 操作进程命令行:"C:\Users\Administrator\Desktop\6.12\treymtpo.exe"
  7. 父进程ID:5844
  8. 父进程:C:\Windows\explorer.exe
  9. 父进程命令行:C:\Windows\Explorer.EXE

  11. 防护项目:特殊系统目录
  12. 目标文件:C:\Windows\Fonts\WindowsInstallerJI\423C014\8265ecbd4b9be41cPQE.exe
  13. 操作结果:已允许
  14. 进程ID:7844
  15. 操作进程:C:\Users\Administrator\Desktop\6.12\treymtpo.exe
  16. 操作进程命令行:"C:\Users\Administrator\Desktop\6.12\treymtpo.exe"
  17. 父进程ID:5844
  18. 父进程:C:\Windows\explorer.exe
  19. 父进程命令行:C:\Windows\Explorer.EXE

  21. 防护项目:系统目录
  22. 目标文件:C:\Windows\Fonts\WindowsInstallerJI\423C014\8265ecbd4b9be41cPQE.exe
  23. 操作结果:已允许
  24. 进程ID:7844
  25. 操作进程:C:\Users\Administrator\Desktop\6.12\treymtpo.exe
  26. 操作进程命令行:"C:\Users\Administrator\Desktop\6.12\treymtpo.exe"
  27. 父进程ID:5844
  28. 父进程:C:\Windows\explorer.exe
  29. 父进程命令行:C:\Windows\Explorer.EXE
复制代码



WeChatSetu.msi -> 手动内存扫描捉
  1. 总计用时:00:00:03
  2. 扫描对象:2213
  3. 扫描文件:1304
  4. 发现风险:2
  5. 已处理风险:2
  6. 病毒详情:
  7. 风险路径:mem://6976-0xe1ea8c40-0x2970000-C:\bociiw\Agghosts.exe, 病毒名:Backdoor/Lotok.fr, 病毒ID:66d33fc54803b220, 处理结果:处理成功,进程已结束
  8. 风险路径:mem://6976-0xe1ea8c40-0x2af0000-C:\bociiw\Agghosts.exe, 病毒名:Backdoor/Lotok.fr, 病毒ID:66d33fc54803b220, 处理结果:处理失败,进程结束失败
复制代码

WPS Office_12.1.0.exe -> MISS

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

anxiety520
发表于 2024-6-13 15:43:07 | 显示全部楼层
卡巴
扫描杀+双击衍生物杀+拦截恶意外联 经测试均成功拦截

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

yaokai815
发表于 2024-6-13 19:14:37 | 显示全部楼层
本帖最后由 yaokai815 于 2024-6-14 16:03 编辑

360kill all  瑞星kill 2x

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

123456aaaafsdeg
发表于 2024-6-13 21:27:46 | 显示全部楼层
江民。。。0
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-15 12:24 , Processed in 0.137881 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表