钓鱼 trojan * 1

显示全部楼层 · 发表于 2024-7-8 21:03:35

CS解压+扫描miss

显示全部楼层 · 发表于 2024-7-8 21:09:09

本帖最后由 hipoxiaxxx 于 2024-7-8 21:10 编辑

FortiClient扫描KILL
W64/Farfli.AD!tr
与ESET相同

显示全部楼层 · 发表于 2024-7-9 07:01:20

本帖最后由 DisaPDB 于 2024-7-9 07:10 编辑

改关联的操作在这，也不知道是用来干什么的

LABEL_9:
wcsncpy_s(Destination, 0x104ui64, v6, v8);
goto LABEL_10;
}
v8 = lstrlenW(v6) - 1;
v9 = v8;
if ( v8 > 0 )
{
while ( v6[v9] != 32 )
{
--v9;
--v8;
if ( v9 <= 0 )
goto LABEL_10;
}
goto LABEL_9;
}
LABEL_10:
if ( !(unsigned int)sub_140005AA0(a1, Destination, 1i64, Dst) )
return 0;
memset(v16, 0, 0x3E8ui64);
wsprintfW(v16, L"%s\\shell\\open\\command", Dst);
memset(Dst, 0, 0x208ui64);
memset(Src, 0, 520);
if ( !(unsigned int)sub_140005AA0(a1, v16, 2i64, Src) )
return 0;
ExpandEnvironmentStringsW(Src, Dst, 0x104u);
v10 = wcsstr(Dst, L""%1");
if ( v10 || (v10 = wcsstr(Dst, L"%1")) != 0i64 )
{
lstrcpyW(v10, a2);
}
else
{
lstrcatW(Dst, " ");
lstrcatW(Dst, a2);
}
memset(&StartupInfo.lpReserved, 0, 0x60ui64);
StartupInfo.cb = 104;
if ( a3 )
{
StartupInfo.lpDesktop = L"WinSta0\\Default";
}
else
{
StartupInfo.dwFlags = 1;
StartupInfo.wShowWindow = 0;
}
CreateProcessW(0i64, Dst, 0i64, 0i64, 0, 0, 0i64, 0i64, &StartupInfo, &ProcessInformation);
return 1;
}

复制代码

显示全部楼层 · 发表于 2024-7-9 08:46:07

YU2711 发表于 2024-7-8 18:55
我这边刚扫出来的

刚才试了下，很神奇，昨天解压的样本怎么扫描都是无威胁，但是重新解压的就给我报毒干掉了，电脑里面也没别的安全软件不可能文件被修复之类的，见鬼了

显示全部楼层 · 发表于 2024-7-10 15:03:59

瑞星kill

显示全部楼层 · 发表于 2024-7-10 16:03:34

AhnLab kill

显示全部楼层 · 发表于 2024-7-11 21:18:19

ESET

显示全部楼层 · 发表于 2024-7-11 21:29:00

才看见此贴，下载解压，直接被Avast给杀了。

[病毒样本] 钓鱼 trojan * 1