收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 FakeAPP 22X
12下一页
返回列表 发新帖
查看: 1581|回复: 17
收起左侧

[病毒样本] FakeAPP 22X

[复制链接]
hsks
发表于 2024-6-20 00:49:35 | 显示全部楼层 |阅读模式
本帖最后由 hsks 于 2024-6-20 01:56 编辑

rt
原来前天是为更新做准备(
网速真慢(叹气)
https://f.ws59.cn/f/eeb114xad9m
https://www.123pan.com/s/FJUmjv-RWqN.html
https://pan.huang1111.cn/s/Ydb4SA

评分

参与人数 4人气 +12 收起 理由
QVM360 + 3 版区有你更精彩: )
莒县小哥 + 3 版区有你更精彩: )
UNknownOoo + 3
DisaPDB + 3

查看全部评分

回复

举报

DisaPDB
发表于 2024-6-20 01:05:31 | 显示全部楼层
本帖最后由 DisaPDB 于 2024-6-20 06:59 编辑

分流:https://www.123pan.com/s/sAX5Vv-GoWX.html

360 扫描4x

双击
  1. 时间        操作        说明        次数
  2. 2024-06-20 02:23:05        [已清除]          发现木马:Trojan.Generic        防护 1 次
  3. 详细描述:
  4. 木马名称:Trojan.Generic
  5. 所在路径:C:\Users\DisaExploit\Desktop\6.20\1\youddaao-last.msi
  6. 2024-06-20 02:23:05        [自动阻止]          进程创建        防护 2 次
  7. 详细描述:
  8. 进程:C:\Windows\System32\msiexec.exe
  9. 动作:进程创建
  10. 路径:C:\ProgramData\AutoHotkey\AutoHotkey.exe
  11. 拦截补充描述:有木马试图攻击您的电脑,360已成功拦截。

  13. 防护信息: AD|1, 4|-1, 10, 70||
  14. 2024-06-20 02:23:02        [已清除]          发现木马:Trojan.Generic        防护 1 次
  15. 详细描述:
  16. 木马名称:Trojan.Generic
  17. 所在路径:C:\ProgramData\AutoHotkey\AutoHotkey.exe
  18. 2024-06-20 02:22:37        [启动]          卫士启动        
  19. 您的电脑已处于360安全卫士的保护中。
  20. 2024-06-20 02:22:30        [退出]          卫士退出        
  21. 您的电脑处于极不安全的状况。
  22. 请一定不要在网购或游戏时退出360,也不要听信卖家或网站的诱导,
  23. 退出后如果受骗,360网购先赔将不会赔偿您的损失。
  24. 2024-06-20 02:08:28        [自动阻止]          修改 快捷方式        防护 1 次
  25. 详细描述:
  26. 进程:C:\Windows\System32\msiexec.exe
  27. 动作:试图修改
  28. 路径:C:\Users\Public\Desktop\Telegram.exe.lnk
  29. 不再提醒(0x66731e9c)
  30. 防护信息: FD|1, 930|40, -1, -1|||
  31. 2024-06-20 02:05:57        [自动阻止]          修改 快捷方式        防护 1 次
  32. 详细描述:
  33. 进程:C:\Windows\System32\msiexec.exe
  34. 动作:试图修改
  35. 路径:C:\Users\Public\Desktop\Telegram.exe.lnk
  36. 不再提醒(0x66731e05)
  37. 防护信息: FD|1, 930|40, -1, -1|||
  38. 2024-06-20 02:05:06        [已阻止]          驱动/服务        防护 1 次
  39. 详细描述:
  40. 进程:C:\Users\Default\Desktop\UaCVWFATNNPN\yybob\Bor32-update-flase.exe
  41. 动作:服务创建
  42. 路径:C:\Program Files (x86)\Common Files\microsoft shared\VGX\OTGContainer.exe
  43. 风险文件:C:\Users\DisaExploit\Desktop\6.20\1\cc-ins.msi
  44. 拦截补充描述:通常安全软件或硬件在安装时才会修改此注册表项。木马、病毒经常利用驱动提升破坏能力。如果您不认识此程序,请立即阻止。

  46. 防护信息: AD|10, 12|40, 40, -1||
  47. 2024-06-20 02:04:41        [自动阻止]          修改 快捷方式        防护 1 次
  48. 详细描述:
  49. 进程:C:\Windows\System32\msiexec.exe
  50. 动作:试图修改
  51. 路径:C:\Users\Public\Desktop\Telegram.lnk
  52. 不再提醒(0x66731db9)
  53. 防护信息: FD|1, 930|40, -1, -1|||
  54. 2024-06-20 02:04:22        [自动阻止]          模拟按键        防护 1 次
  55. 详细描述:
  56. 进程:C:\Users\DisaExploit\Desktop\6.20\1\Taxsex.com.exe "C:\Users\DisaExploit\Desktop\6.20\1\Taxsex.com.exe" , (1, 24)
  57. 动作:模拟按键
  58. 路径:
  59. 2024-06-20 02:03:18        [自动阻止]          修改 快捷方式        防护 1 次
  60. 详细描述:
  61. 进程:C:\Windows\System32\msiexec.exe
  62. 动作:试图修改
  63. 路径:C:\Users\Public\Desktop\Telegram.exe.lnk
  64. 不再提醒(0x66731d66)
  65. 防护信息: FD|1, 930|40, -1, -1|||
  66. 2024-06-20 02:02:56        [自动阻止]          修改 关键程序DLL文件        防护 1 次
  67. 详细描述:
  68. 进程:C:\Windows\System32\msiexec.exe
  69. 动作:试图修改
  70. 路径:C:\Program Files (x86)\signal\signal-desktop\d3dcompiler_47.dll
  71. 不再提醒(0x66731d50)
  72. 防护信息: FD|18, 548|40, -1, -1|||
  73. 2024-06-20 02:02:55        [自动阻止]          修改 关键程序DLL文件        防护 1 次
  74. 详细描述:
  75. 进程:C:\Windows\System32\msiexec.exe
  76. 动作:试图修改
  77. 路径:C:\Program Files (x86)\signal\signal-desktop\d3dcompiler_47.dll
  78. 不再提醒(0x66731d4f)
  79. 防护信息: FD|18, 548|40, -1, -1|||
  80. 2024-06-20 02:02:53        [已阻止]          修改 关键程序DLL文件        防护 1 次
  81. 详细描述:
  82. 进程:C:\Windows\System32\msiexec.exe
  83. 动作:试图修改
  84. 路径:C:\Program Files (x86)\signal\signal-desktop\d3dcompiler_47.dll
  85. 防护信息: FD|18, 548|40, 40, -1|||
  86. 2024-06-20 02:02:38        [已清除]          发现木马:Trojan.Generic        防护 1 次
  87. 详细描述:
  88. 木马名称:Trojan.Generic
  89. 所在路径:C:\Users\DisaExploit\Desktop\6.20\1\signal.msi
  90. 2024-06-20 02:02:38        [自动阻止]          进程创建        防护 1 次
  91. 详细描述:
  92. 进程:C:\Windows\System32\msiexec.exe
  93. 动作:进程创建
  94. 路径:C:\Windows\System32\cmd.exe
  95. 拦截补充描述:有木马试图攻击您的电脑,360已成功拦截。

  97. 防护信息: AD|1, 4|40, -1, 70||
  98. 2024-06-20 02:02:22        [已阻止]          修改 系统关键设置        防护 1 次
  99. 详细描述:
  100. 注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\WINDOWS ERROR REPORTING\RUNTIMEEXCEPTIONHELPERMODULES\[C:\Users\DISAEX~1\AppData\Local\Temp\wps\~459412\CONTROL\office6\werhandler.dll]
  101. 注册表内容:0
  102. 进程:C:\ProgramData\kingsoft\20240620_21323\lop.exe
  103. 父进程:C:\ProgramData\kingsoft\20240620_21323\lop.exe , (103)
  104. 风险文件:C:\Users\DisaExploit\Desktop\6.20\1\cc-ins.msi
  105. 防护信息: RD|80, 1494|40, 10, -1|||
  106. 2024-06-20 02:02:19        [已阻止]          修改 系统关键设置        防护 1 次
  107. 详细描述:
  108. 注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\WINDOWS ERROR REPORTING\RUNTIMEEXCEPTIONHELPERMODULES\[C:\Users\DISAEX~1\AppData\Local\Temp\wps\~459412\CONTROL\office6\werhandler.dll]
  109. 注册表内容:0
  110. 进程:C:\ProgramData\kingsoft\20240620_21323\lop.exe
  111. 父进程:C:\PROGRAM FILES\WINDOWS DEFENDERR\LOP.EXE , (103)
  112. 风险文件:C:\Users\DisaExploit\Desktop\6.20\1\cc-ins.msi
  113. 防护信息: RD|80, 1494|40, 10, -1|||
  114. 2024-06-20 02:01:53        [已清除]          发现木马:Trojan.Generic        防护 1 次
  115. 详细描述:
  116. 木马名称:Trojan.Generic
  117. 所在路径:C:\Users\DisaExploit\Desktop\6.20\1\Potato-ZH_CN-Deskto_5.0.8.msi
  118. 2024-06-20 02:01:53        [自动阻止]          进程创建        防护 7 次
  119. 详细描述:
  120. 进程:C:\Windows\System32\msiexec.exe
  121. 动作:进程创建
  122. 路径:C:\Windows\SysWOW64\msiexec.exe
  123. 拦截补充描述:有木马试图攻击您的电脑,360已成功拦截。

  125. 防护信息: AD|1, 4|40, -1, 70||
  126. 2024-06-20 02:01:40        [已清除]          发现木马:Trojan.Generic        防护 1 次
  127. 详细描述:
  128. 木马名称:Trojan.Generic
  129. 所在路径:C:\Users\DisaExploit\Desktop\6.20\1\Po-New.msi
  130. 2024-06-20 02:01:30        [自动阻止]          模拟按键        防护 1 次
  131. 详细描述:
  132. 进程:C:\Windows\System32\msiexec.exe "C:\Windows\System32\msiexec.exe" /i "C:\Users\DisaExploit\Desktop\6.20\1\Po-New.msi" , (1, 24)
  133. 动作:模拟按键
  134. 路径:
  135. 2024-06-20 02:01:23        [已清除]          发现木马:Trojan.Generic        防护 1 次
  136. 详细描述:
  137. 木马名称:Trojan.Generic
  138. 所在路径:C:\Users\DisaExploit\Desktop\6.20\1\MosGram.msi
  139. 2024-06-20 02:01:04        [自动阻止]          模拟按键        防护 1 次
  140. 详细描述:
  141. 进程:C:\Windows\System32\msiexec.exe "C:\Windows\System32\msiexec.exe" /i "C:\Users\DisaExploit\Desktop\6.20\1\MosGram.msi" , (1, 24)
  142. 动作:模拟按键
  143. 路径:
  144. 2024-06-20 02:01:00        [已清除]          发现木马:Trojan.Generic        防护 1 次
  145. 详细描述:
  146. 木马名称:Trojan.Generic
  147. 所在路径:C:\Users\DisaExploit\Desktop\6.20\1\LINE-ZH_Desktop_3.08.msi
  148. 2024-06-20 02:00:59        [自动阻止]          进程创建        防护 1 次
  149. 详细描述:
  150. 进程:C:\Windows\System32\msiexec.exe
  151. 动作:进程创建
  152. 路径:C:\Windows\Installer\MSI6408.tmp
  153. 拦截补充描述:有木马试图攻击您的电脑,360已成功拦截。

  155. 防护信息: AD|1, 4|40, -1, 70||
  156. 2024-06-20 02:00:51        [自动阻止]          修改 快捷方式        防护 1 次
  157. 详细描述:
  158. 进程:C:\Windows\System32\msiexec.exe
  159. 动作:试图修改
  160. 路径:C:\Users\Public\Desktop\LineInst.exe.lnk
  161. 不再提醒(0x66731cd3)
  162. 防护信息: FD|1, 930|40, -1, -1|||
  163. 2024-06-20 02:00:48        [未处理]          发现木马:Trojan.Generic        防护 2 次
  164. 详细描述:
  165. 木马名称:Trojan.Generic
  166. 所在路径:C:\Users\DisaExploit\Desktop\6.20\1\LINE-ZH_Desktop_3.08.msi
  167. 2024-06-20 02:00:31        [已清除]          发现木马:Trojan.Generic        防护 1 次
  168. 详细描述:
  169. 木马名称:Trojan.Generic
  170. 所在路径:C:\Users\DisaExploit\Desktop\6.20\1\Line-Inst.msi
  171. 2024-06-20 02:00:26        [未处理]          发现木马:Trojan.Generic        防护 1 次
  172. 详细描述:
  173. 木马名称:Trojan.Generic
  174. 所在路径:C:\Users\DisaExploit\Desktop\6.20\1\Line-Inst.msi
  175. 2024-06-20 02:00:07        [自动阻止]          模拟按键        防护 1 次
  176. 详细描述:
  177. 进程:C:\Windows\System32\msiexec.exe "C:\Windows\System32\msiexec.exe" /i "C:\Users\DisaExploit\Desktop\6.20\1\Line-Inst.msi" , (1, 24)
  178. 动作:模拟按键
  179. 路径:
  180. 2024-06-20 01:59:25        [已阻止]          修改 关键应用程序文件        防护 1 次
  181. 详细描述:
  182. 进程:C:\Windows\System32\msiexec.exe
  183. 动作:试图修改
  184. 路径:C:\Program Files\Letstalk\Letstalk\x64\chrome_elf.dll
  185. 防护信息: FD|10, 1395|40, 40, -1|||
  186. 2024-06-20 01:57:55        [已清除]          发现木马:Trojan.Generic        防护 1 次
  187. 详细描述:
  188. 木马名称:Trojan.Generic
  189. 所在路径:C:\Users\DisaExploit\Desktop\6.20\1\hollle翻译v76版本.msi
  190. 2024-06-20 01:57:35        [已清除]          发现木马:Trojan.Generic        防护 1 次
  191. 详细描述:
  192. 木马名称:Trojan.Generic
  193. 所在路径:C:\Users\DisaExploit\Desktop\6.20\1\CloudChat.msi
  194. 2024-06-20 01:57:16        [自动阻止]          模拟按键        防护 1 次
  195. 详细描述:
  196. 进程:C:\Windows\System32\msiexec.exe "C:\Windows\System32\msiexec.exe" /i "C:\Users\DisaExploit\Desktop\6.20\1\CloudChat.msi" , (1, 24)
  197. 动作:模拟按键
  198. 路径:
  199. 2024-06-20 01:56:50        [已清除]          发现木马:Trojan.Generic        防护 1 次
  200. 详细描述:
  201. 木马名称:Trojan.Generic
  202. 所在路径:C:\Users\DisaExploit\Desktop\6.20\1\cc-ins.msi
  203. 2024-06-20 01:13:43        [启动]          卫士启动        
  204. 您的电脑已处于360安全卫士的保护中。
复制代码

T.G-X64.msi.msi-miss
telegram-TG-zw_5.0.8.msi-miss
WhatApaaPro.exe-miss

有效拦截合计19/22.





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
hsks + 3

查看全部评分

回复

举报

hsks
 楼主| 发表于 2024-6-20 01:06:49 | 显示全部楼层
DisaPDB 发表于 2024-6-20 01:05
360 占
猝死の更新时间

没办法,网速太慢了,上传也很慢(
回复

举报

莒县小哥
发表于 2024-6-20 08:23:33 | 显示全部楼层
WD杀7枚

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

心醉咖啡
发表于 2024-6-20 08:27:32 | 显示全部楼层
火绒5
  1. 病毒库时间:2024-06-19 17:52
  2. 开始时间:2024-06-20 08:22
  3. 总计用时:00:00:44
  4. 扫描对象:11671
  5. 扫描文件:22
  6. 发现风险:10
  7. 已处理风险:9
  8. 病毒详情:
  9. 风险路径:E:\浏览器下载\6.20\CloudChat.msi >> WWStartupCtrl64.dll, 病毒名:Backdoor/Lotok.dhk, 病毒ID:41f59e09e9a85a58, 处理结果:已处理,删除文件
  10. 风险路径:E:\浏览器下载\6.20\LINE-ZH_Desktop_3.08.msi, 病毒名:TrojanDownloader/Agent.avd, 病毒ID:86875f6c846245f7, 处理结果:已处理,删除文件
  11. 风险路径:E:\浏览器下载\6.20\cc-ins.msi >> vs.zip, 病毒名:Trojan/Generic!0D73CD01141508E4, 病毒ID:0d73cd01141508e4, 处理结果:已处理,删除文件
  12. 风险路径:E:\浏览器下载\6.20\hollle翻译v76版本.msi >> qbcore.dll, 病毒名:Backdoor/Farfli.je, 病毒ID:fd5cbbc1ef74e232, 处理结果:已处理,删除文件
  13. 风险路径:E:\浏览器下载\6.20\PPT_WPS-offce_WINX64_008.msi, 病毒名:Trojan/VBS.Runner.o, 病毒ID:c06987ab1ab9107f, 处理结果:已处理,删除文件
  14. 风险路径:E:\浏览器下载\6.20\sig-nal.msi >> vs.zip, 病毒名:Trojan/Generic!0D73CD01141508E4, 病毒ID:0d73cd01141508e4, 处理结果:已处理,删除文件
  15. 风险路径:E:\浏览器下载\6.20\js360.sutep.msi >> _B377505D4D7B442AA045CFE13D150B79, 病毒名:Trojan/Generic!CFFDE1393EB8D901, 病毒ID:cffde1393eb8d901, 处理结果:处理失败,文件未处理
  16. 风险路径:E:\浏览器下载\6.20\Tleaxse-x64.msi, 病毒名:TrojanDownloader/Maloader.o, 病毒ID:c9840b021be42302, 处理结果:已处理,删除文件
  17. 风险路径:E:\浏览器下载\6.20\Po-New.msi >> vs.zip, 病毒名:Trojan/Generic!0D73CD01141508E4, 病毒ID:0d73cd01141508e4, 处理结果:已处理,删除文件
  18. 风险路径:E:\浏览器下载\6.20\Tleaxse-x64.msi >> exe, 病毒名:TrojanDownloader/Maloader.o, 病毒ID:c9840b021be42302, 处理结果:已处理,删除文件
复制代码


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

1073328164
发表于 2024-6-20 09:33:27 | 显示全部楼层
咖啡 miss all
回复

举报

hsks
 楼主| 发表于 2024-6-20 11:57:21 | 显示全部楼层
DisaPDB 发表于 2024-6-20 01:05
分流:https://www.123pan.com/s/sAX5Vv-GoWX.html

360 扫描4x

看了下,有的作者偷懒了,把老payload打包进新msi就是更新了(
回复

举报

DisaPDB
发表于 2024-6-20 12:20:16 | 显示全部楼层
hsks 发表于 2024-6-20 11:57
看了下,有的作者偷懒了,把老payload打包进新msi就是更新了(

貌似不是击杀本体来着……

感觉像是针对.msi包加的双击规则

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

hsks
 楼主| 发表于 2024-6-20 12:28:00 | 显示全部楼层
DisaPDB 发表于 2024-6-20 12:20
貌似不是击杀本体来着……

感觉像是针对.msi包加的双击规则

被特殊照顾了(
回复

举报

UNknownOoo
发表于 2024-6-20 12:28:20 | 显示全部楼层
火绒6(未开高级启发)

扫描:11x(实际处理0x)
隔离样本的这个bug能不能修一修呐...好烦(


  1. 总计用时:00:01:30
  2. 扫描对象:7386
  3. 扫描文件:22
  4. 发现风险:11
  5. 已处理风险:11
  6. 病毒详情:
  7. 风险路径:C:\Users\Administrator\Desktop\6.20\CloudChat.msi >> WWStartupCtrl64.dll, 病毒名:Backdoor/Lotok.dhk, 病毒ID:41f59e09e9a85a58, 处理结果:已处理,删除文件
  8. 风险路径:C:\Users\Administrator\Desktop\6.20\LINE-ZH_Desktop_3.08.msi, 病毒名:TrojanDownloader/Agent.avd, 病毒ID:86875f6c846245f7, 处理结果:已处理,删除文件
  9. 风险路径:C:\Users\Administrator\Desktop\6.20\hollle翻译v76版本.msi >> qbcore.dll, 病毒名:Backdoor/Farfli.je, 病毒ID:fd5cbbc1ef74e232, 处理结果:已处理,删除文件
  10. 风险路径:C:\Users\Administrator\Desktop\6.20\cc-ins.msi >> vs.zip, 病毒名:Trojan/Generic!0D73CD01141508E4, 病毒ID:0d73cd01141508e4, 处理结果:已处理,删除文件
  11. 风险路径:C:\Users\Administrator\Desktop\6.20\Po-New.msi >> vs.zip, 病毒名:Trojan/Generic!0D73CD01141508E4, 病毒ID:0d73cd01141508e4, 处理结果:已处理,删除文件
  12. 风险路径:C:\Users\Administrator\Desktop\6.20\PPT_WPS-offce_WINX64_008.msi, 病毒名:Trojan/VBS.Runner.o, 病毒ID:c06987ab1ab9107f, 处理结果:已处理,删除文件
  13. 风险路径:C:\Users\Administrator\Desktop\6.20\T.G-X64.msi.msi, 病毒名:TrojanDownloader/Agent.avd, 病毒ID:86875f6c846245f7, 处理结果:已处理,删除文件
  14. 风险路径:C:\Users\Administrator\Desktop\6.20\sig-nal.msi >> vs.zip, 病毒名:Trojan/Generic!0D73CD01141508E4, 病毒ID:0d73cd01141508e4, 处理结果:已处理,删除文件
  15. 风险路径:C:\Users\Administrator\Desktop\6.20\T.G-X64.msi.msi >> exe, 病毒名:TrojanDownloader/Agent.avd, 病毒ID:86875f6c846245f7, 处理结果:已处理,删除文件
  16. 风险路径:C:\Users\Administrator\Desktop\6.20\Tleaxse-x64.msi, 病毒名:TrojanDownloader/Maloader.o, 病毒ID:c9840b021be42302, 处理结果:已处理,删除文件
  17. 风险路径:C:\Users\Administrator\Desktop\6.20\Tleaxse-x64.msi >> exe, 病毒名:TrojanDownloader/Maloader.o, 病毒ID:c9840b021be42302, 处理结果:已处理,删除文件
复制代码


手动删除报毒项目后剩下运行:
js360.sutep.msi -> 拉黑衍生物
  1. 病毒名称:Trojan/Generic!CFFDE1393EB8D901
  2. 病毒ID:CFFDE1393EB8D901
  3. 病毒路径:C:\Program Files (x86)\默认公司名称\360csex_setup\sss.exe
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件
复制代码

Letstalk.msi -> 实时监控捉
  1. 病毒名称:Backdoor/Lotok.dhk
  2. 病毒ID:41F59E09E9A85A58
  3. 病毒路径:C:\Program Files\Letstalk\Letstalk\x64\WWStartupCtrl64.dll
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件
复制代码

Line-Inst.msi -> MISS


MosGram.msi -> 实时监控捉
  1. 病毒名称:Backdoor/Lotok.dhk
  2. 病毒ID:41F59E09E9A85A58
  3. 病毒路径:C:\Program Files\Jastin\MosGram\MosGram\resources\WWStartupCtrl64.dll
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件
复制代码

Potato-ZH_CN-Deskto_5.0.8.msi -> 实时监控捉,本地被断网
  1. 防护项目:关闭UAC
  2. 操作类型:修改
  3. 数据内容:0x00000000 (0)
  4. 目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  5. 操作结果:已允许
  6. 进程ID:3236
  7. 操作进程:C:\Windows\System32\reg.exe
  8. 操作进程命令行:reg  add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v ConsentPromptBehaviorAdmin /t reg_dword /d 0 /F
  9. 父进程ID:8164
  10. 父进程:C:\Windows\System32\cmd.exe
  11. 父进程命令行:"C:\Windows\System32\cmd.exe" /C "C:\Users\Administrator\AppData\Roaming\YYTYD.bat"
复制代码
  1. 病毒名称:Trojan/HiJack.fc
  2. 病毒ID:2956C3191976F3FB
  3. 病毒路径:C:\Users\Public\Pictures\zajrG\5C3K3~z1\p
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件

  7. 进程ID:6980
  8. 操作进程:C:\Windows\Installer\MSI7187.tmp
  9. 操作进程命令行:"C:\Windows\Installer\MSI7187.tmp"
  10. 父进程ID:2880
  11. 父进程:C:\Windows\System32\msiexec.exe

  13. 病毒名称:Trojan/Generic!02D2B21FE148CBCA
  14. 病毒ID:02D2B21FE148CBCA
  15. 病毒路径:C:\Users\Public\Pictures\zajrG\5C3K3~z1\DuiLib_u.dll
  16. 操作类型:修改
  17. 操作结果:已处理,删除文件

  19. 进程ID:3128
  20. 操作进程:C:\Windows\System32\cmd.exe
  21. 操作进程命令行:"C:\Windows\System32\cmd.exe" /c copy /b C:\Users\Public\Pictures\zajrG\5C3K3~z1\p+C:\Users\Public\Pictures\zajrG\5C3K3~z1\w C:\Users\Public\Pictures\zajrG\5C3K3~z1\DuiLib_u.dll
  22. 父进程ID:6980
  23. 父进程:C:\Windows\Installer\MSI7187.tmp
复制代码

setup.1.3.msi -> MISS,但是C2也寄了
  1. 防护项目:启动项
  2. 操作类型:修改
  3. 数据内容:C:\nahibo\Agghosts.exe
  4. 目标注册表:HKEY_USERS\S-1-5-21-2555528855-4037978411-3127993368-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\驱动生
  5. 操作结果:已允许
  6. 进程ID:932
  7. 操作进程:C:\nahibo\Agghosts.exe
  8. 操作进程命令行:"C:\nahibo\Agghosts.exe" 67
  9. 父进程ID:5664
  10. 父进程:C:\Windows\explorer.exe
  11. 父进程命令行:C:\Windows\Explorer.EXE

  13. 防护项目:防火墙注册表项
  14. 操作类型:修改
  15. 数据内容:0x00000000 (0)
  16. 目标注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\EnableFirewall
  17. 操作结果:已允许
  18. 进程ID:3396
  19. 操作进程:C:\Windows\System32\svchost.exe
  20. 操作进程命令行:C:\Windows\system32\svchost.exe -k LocalServiceNoNetworkFirewall -p
  21. 父进程ID:816
  22. 父进程:C:\Windows\System32\services.exe
  23. 父进程命令行:C:\Windows\system32\services.exe
复制代码




signal.msi -> 内存防护捉
  1. 防护项目:系统任务目录
  2. 目标文件:C:\Windows\System32\Tasks\AHK
  3. 操作结果:已允许
  4. 进程ID:1516
  5. 操作进程:C:\Windows\System32\svchost.exe
  6. 操作进程命令行:C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule
  7. 父进程ID:816
  8. 父进程:C:\Windows\System32\services.exe
  9. 父进程命令行:C:\Windows\system32\services.exe
复制代码
  1. 病毒名称:Backdoor/Lotok.fs
  2. 病毒ID:C284CCDE13F78515
  3. 虚拟地址:0x0000000000400000
  4. 映像大小:136KB
  5. 是否完整映像:否
  6. 数据流哈希:aabb5a86
  7. 操作结果:已处理
  8. 进程ID:6328
  9. 操作进程:C:\Users\Public\Music\0day\python\pythonw.exe
  10. 操作进程命令行:C:\Users\Public\Music\0day\python\pythonw.exe  C:\Users\Public\Music\0day\python\Code.jpg
  11. 父进程ID:6072
  12. 父进程:C:\Windows\System32\cmd.exe
  13. 父进程命令行:C:\Windows\system32\cmd.exe /c start C:\Users\Public\Music\0day\python\pythonw.exe C:\Users\Public\Music\0day\python\Code.jpg
复制代码

Signal-setup.msi -> MISS(与setup.1.3.msi 同源)

sogopinmg.msi -> 手动内存扫描捉(与setup.1.3.msi 同源但是C2存活)
  1. 病毒库时间:2024-06-19 17:52
  2. 开始时间:2024-06-20 12:22
  3. 总计用时:00:00:04
  4. 扫描对象:2286
  5. 扫描文件:1329
  6. 发现风险:1
  7. 已处理风险:1
  8. 病毒详情:
  9. 风险路径:mem://6084-0x1019af7c-0x28b0000-C:\wcvhnz\Agghosts.exe, 病毒名:Backdoor/Lotok.fr, 病毒ID:66d33fc54803b220, 处理结果:处理成功,进程已结束
复制代码

Taxsex.com.exe -> 拉黑衍生物
  1. 病毒名称:Trojan/Generic!CF8795C081EC06B7
  2. 病毒ID:CF8795C081EC06B7
  3. 病毒路径:C:\Users\Default\Desktop\UaCVWFATNNPN\yybob\HipsdiaMain.dll
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件

  7. 病毒名称:Trojan/Generic!45BA7A84A9947628
  8. 病毒ID:45BA7A84A9947628
  9. 病毒路径:C:\Program Files (x86)\Common Files\Microsoft Shared\VGX\libmini.dll
  10. 操作类型:修改
  11. 操作结果:已处理,删除文件

  13. 防护项目:服务/驱动配置项
  14. 操作类型:修改
  15. 数据内容:C:\Program Files (x86)\Common Files\microsoft shared\VGX\OTGContainer.exe
  16. 目标注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Zgxews797f010djm\ImagePath
  17. 操作结果:已允许
  18. 进程ID:816
  19. 操作进程:C:\Windows\System32\services.exe
  20. 操作进程命令行:C:\Windows\system32\services.exe
  21. 父进程ID:664
  22. 父进程:C:\Windows\System32\wininit.exe
  23. 父进程命令行:wininit.exe
复制代码

telegram-TG-zw_5.0.8.msi -> 实时监控捉
  1. 防护项目:关闭UAC
  2. 操作类型:修改
  3. 数据内容:0x00000000 (0)
  4. 目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
  5. 操作结果:已允许
  6. 进程ID:4528
  7. 操作进程:C:\Windows\System32\reg.exe
  8. 操作进程命令行:reg  add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t reg_dword /d 0 /F
  9. 父进程ID:2408
  10. 父进程:C:\Windows\System32\cmd.exe
  11. 父进程命令行:"C:\Windows\System32\cmd.exe" /C "C:\Users\Administrator\AppData\Roaming\nHFl7.bat"

  13. 病毒名称:Trojan/HiJack.fc
  14. 病毒ID:2956C3191976F3FB
  15. 病毒路径:C:\Users\Public\Pictures\9QqR5\54MHK~i\p
  16. 操作类型:修改
  17. 操作结果:已处理,删除文件

  19. 进程ID:5692
  20. 操作进程:C:\Windows\Installer\MSI881F.tmp
  21. 操作进程命令行:"C:\Windows\Installer\MSI881F.tmp"
  22. 父进程ID:2880
  23. 父进程:C:\Windows\System32\msiexec.exe

  25. 病毒名称:Trojan/Generic!02D2B21FE148CBCA
  26. 病毒ID:02D2B21FE148CBCA
  27. 病毒路径:C:\Users\Public\Pictures\9QqR5\54MHK~i\DuiLib_u.dll
  28. 操作类型:修改
  29. 操作结果:已处理,删除文件

  31. 进程ID:592
  32. 操作进程:C:\Windows\System32\cmd.exe
  33. 操作进程命令行:"C:\Windows\System32\cmd.exe" /c copy /b C:\Users\Public\Pictures\9QqR5\54MHK~i\p+C:\Users\Public\Pictures\9QqR5\54MHK~i\w C:\Users\Public\Pictures\9QqR5\54MHK~i\DuiLib_u.dll
  34. 父进程ID:5692
  35. 父进程:C:\Windows\Installer\MSI881F.tmp
复制代码

WhatApaaPro.exe -> 内存防护捉
  1. 病毒名称:Backdoor/Lotok.fs
  2. 病毒ID:C284CCDE13F78515
  3. 虚拟地址:0x00000000032A0000
  4. 映像大小:140KB
  5. 是否完整映像:否
  6. 数据流哈希:2432b5e9
  7. 操作结果:已处理
  8. 进程ID:9376
  9. 操作进程:C:\Users\Administrator\AppData\Roaming\WhatApp\app-2.2325.3\locales\ZApp_vf.Gv.exe
  10. 操作进程命令行:"C:\Users\Administrator\AppData\Roaming\WhatApp\app-2.2325.3\locales\ZApp_vf.Gv.exe"
  11. 父进程ID:2408
  12. 父进程:C:\Users\Administrator\AppData\Local\Temp\is-SJ47S.tmp\WhatApaaPro.tmp
  13. 父进程命令行:"C:\Users\ADMINI~1\AppData\Local\Temp\is-SJ47S.tmp\WhatApaaPro.tmp" /SL5="$506F2,116815677,960000,C:\Users\Administrator\Desktop\6.20\WhatApaaPro.exe"

  15. 病毒名称:Backdoor/Lotok.fs
  16. 病毒ID:C284CCDE13F78515
  17. 虚拟地址:0x0000000003620000
  18. 映像大小:140KB
  19. 是否完整映像:否
  20. 数据流哈希:2432b5e9
  21. 操作结果:已处理
  22. 进程ID:9376
  23. 操作进程:C:\Users\Administrator\AppData\Roaming\WhatApp\app-2.2325.3\locales\ZApp_vf.Gv.exe
  24. 操作进程命令行:"C:\Users\Administrator\AppData\Roaming\WhatApp\app-2.2325.3\locales\ZApp_vf.Gv.exe"
  25. 父进程ID:2408
  26. 父进程:C:\Users\Administrator\AppData\Local\Temp\is-SJ47S.tmp\WhatApaaPro.tmp
  27. 父进程命令行:"C:\Users\ADMINI~1\AppData\Local\Temp\is-SJ47S.tmp\WhatApaaPro.tmp" /SL5="$506F2,116815677,960000,C:\Users\Administrator\Desktop\6.20\WhatApaaPro.exe"
复制代码

youddaao-last.msi -> 内存防护捉
  1. 病毒名称:Backdoor/Lotok.fs
  2. 病毒ID:C284CCDE13F78515
  3. 虚拟地址:0x0000000000400000
  4. 映像大小:136KB
  5. 是否完整映像:否
  6. 数据流哈希:aac55a7e
  7. 操作结果:已处理
  8. 进程ID:9228
  9. 操作进程:C:\Users\Public\Music\0day\python\pythonw.exe
  10. 操作进程命令行:C:\Users\Public\Music\0day\python\pythonw.exe  C:\Users\Public\Music\0day\python\Code.jpg
  11. 父进程ID:3000
  12. 父进程:C:\Windows\System32\cmd.exe
  13. 父进程命令行:C:\Windows\system32\cmd.exe /c start C:\Users\Public\Music\0day\python\pythonw.exe C:\Users\Public\Music\0day\python\Code.jpg
复制代码



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-10-18 13:12 , Processed in 0.135417 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表