FakeAPP 12X

hsks

ANY.LNK 发表于 2024-6-29 01:37
文件神奇的没有超过1G，以及……微软继续其在FakeApp类样本上的低水平检出

更新，在提取样本的时候杀了 ...

最近没什么大规模更新（

ANY.LNK

hsks 发表于 2024-6-29 11:55
最近没什么大规模更新（

我下线了一周没给微软上报（

UNknownOoo

火绒6（未开高级启发
扫描：9x（实际捉7x）

1. 扫描文件：12
   
2. 发现风险：9
   
3. 已处理风险：1
   
4. 病毒详情：
   
5. 风险路径：C:\Users\Administrator\Desktop\6.29\Firefox-latest.msi, 病毒名：Trojan/VBS.GuLoader.ab, 病毒ID：ceb722a5773871bd, 处理结果：已处理，删除文件
   
6. 风险路径：C:\Users\Administrator\Desktop\6.29\gugelg.msi >> Chrom.exe, 病毒名：HVM:Backdoor/Lotok.s, 病毒ID：c9b36d71e71156ff, 处理结果：暂不处理
   
7. 风险路径：C:\Users\Administrator\Desktop\6.29\Potato-Desktop_WIN64.msi, 病毒名：HEUR:TrojanDownloader/Agent.aun, 病毒ID：d857b2eddd95e204, 处理结果：暂不处理
   
8. 风险路径：C:\Users\Administrator\Desktop\6.29\Potato-Desktop_WIN64.msi >> P.exe, 病毒名：HEUR:TrojanDownloader/Agent.aun, 病毒ID：d857b2eddd95e204, 处理结果：暂不处理
   
9. 风险路径：C:\Users\Administrator\Desktop\6.29\ToDesk.msi >> uu_msi.msi, 病毒名：TrojanDownloader/Maloader.v, 病毒ID：bbe8daffae524e94, 处理结果：暂不处理
   
10. 风险路径：C:\Users\Administrator\Desktop\6.29\ToDesk.msi >> uu_msi.msi >> Cj.exe, 病毒名：TrojanDownloader/Maloader.v, 病毒ID：bbe8daffae524e94, 处理结果：暂不处理
    
11. 风险路径：C:\Users\Administrator\Desktop\6.29\电脑飞机&7.exe, 病毒名：HVM:Backdoor/Lotok.s, 病毒ID：c9b36d71e71156ff, 处理结果：暂不处理
    
12. 风险路径：C:\Users\Administrator\Desktop\6.29\电脑飞机&7_1.exe, 病毒名：HVM:Backdoor/Lotok.s, 病毒ID：c9b36d71e71156ff, 处理结果：暂不处理
    
13. 风险路径：C:\Users\Administrator\Desktop\6.29\谷歌安装包.msi >> exe, 病毒名：Trojan/Generic!D082DF8EEFE7E44C, 病毒ID：d082df8eefe7e44c, 处理结果：暂不处理

复制代码

剩下运行：
aicoin-latestx64.exe -> MISS


finalshell_install.msi -> 内存防护捉

1. 病毒名称：Backdoor/Lotok.fo
   
2. 病毒ID：9329ED8113F6EBE6
   
3. 虚拟地址：0x0000000007670000
   
4. 映像大小：252KB
   
5. 是否完整映像：否
   
6. 数据流哈希：2c613c64
   
7. 操作结果：已处理
   
8. 进程ID：7944
   
9. 操作进程：C:\Program Files\Windows Defenderr\Phone.exe
   
10. 操作进程命令行："C:\Program Files\Windows Defenderr\Phone.exe"
    
11. 父进程ID：9072
    
12. 父进程：C:\Windows\SysWOW64\msiexec.exe
    
13. 父进程命令行：C:\Windows\syswow64\MsiExec.exe -Embedding 1F4A8B27EBC05A58C22F643167C77121

复制代码

Guge电脑版_2.0.exe -> 实时监控拉黑衍生物

1. 病毒名称：Trojan/Generic!434ADD0997C11749
   
2. 病毒ID：434ADD0997C11749
   
3. 病毒路径：C:\lqpufw\EduWebContainer.dll
   
4. 操作类型：修改
   
5. 操作结果：已处理，删除文件
   

复制代码

HelloWorld.exe -> 内存防护捉衍生物，但是存在两枚残留进程

1. 病毒名称：Backdoor/Farfli.cn
   
2. 病毒ID：85AF2CB75C315A5E
   
3. 虚拟地址：0x0000000000400000
   
4. 映像大小：192KB
   
5. 是否完整映像：否
   
6. 数据流哈希：8fd3ddf3
   
7. 操作结果：已处理
   
8. 进程ID：2000
   
9. 操作进程：C:\Users\Public\Documents\u\spolsvt.exe
   
10. 操作进程命令行：C:\Users\Public\Documents\u\spolsvt.exe
    
11. 父进程ID：6320
    
12. 父进程：C:\Program Files\aiwor\svcoth.exe
    
13. 父进程命令行："C:\Program Files\aiwor\svcoth.exe"

复制代码

SignalSetup.exe -> 内存防护捉衍生物

1. 病毒名称：Backdoor/Lotok.fo
   
2. 病毒ID：9329ED8113F6EBE6
   
3. 虚拟地址：0x00000000081E0000
   
4. 映像大小：252KB
   
5. 是否完整映像：否
   
6. 数据流哈希：ceab03ee
   
7. 操作结果：已处理
   
8. 进程ID：5928
   
9. 操作进程：C:\Program Files\Windows Defenderr\Phone.exe
   
10. 操作进程命令行："C:\Program Files\Windows Defenderr\Phone.exe"
    
11. 父进程ID：3092
    
12. 父进程：C:\Windows\SysWOW64\msiexec.exe
    
13. 父进程命令行：C:\Windows\syswow64\MsiExec.exe -Embedding B68733133E6600C874EBA558742507BA

复制代码

BitterLotus

DI 10x

………………

剩余

真小读者

Yuki丶 发表于 2024-6-29 10:00
这是四个啊

我所有写的数量都根据杀软UI上写的数量，具体杀了多少杀了什么看图

yaokai815

360kill  3x  瑞星kill 2x