远控downloader 1X

hsks

rt
算了，我没把握，就写个远控吧（
算了，考虑到系列样本的行为，这样本应该是downloader

20:52更新的样本，目前系列样本今日已三更（
https://www.virustotal.com/gui/f ... 530b6496f0d0c65b735

inhh1

BD ATD

aboringman

火绒：0

这个系列好像很喜欢带驱干杀软（

这一次好像没被干掉，反杀了属于是（

1. 【2】2024-07-17 21:34:37,病毒防护,文件实时监控,发现病毒Virus/Synares.a$SA, 已处理
   
2. 
   
3. 病毒名称：Virus/Synares.a$SA
   
4. 病毒ID：3831264D64962073
   
5. 病毒路径：C:\Users\Killer\Desktop\Telegram.exe
   
6. 操作类型：修改
   
7. 操作结果：已处理，清除恶意代码
   
8. 
   
9. 进程ID：8416
   
10. 操作进程：C:\Users\Killer\Desktop\电脑飞机&7\电脑飞机&7.exe
    
11. 操作进程命令行：C:\Users\Killer\Desktop\电脑飞机&7\电脑飞机&7.exe
    
12. 父进程ID：5748
    
13. 父进程：C:\Windows\System32\ComputerDefaults.exe
    
14. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
15. 
    
16. 【3】2024-07-17 21:31:31,病毒防护,文件实时监控,发现病毒Rootkit/Silverfox.a, 已处理
    
17. 
    
18. 病毒名称：Rootkit/Silverfox.a
    
19. 病毒ID：DA39A854BC74F92B
    
20. 病毒路径：C:\ProgramData\girl.jpg
    
21. 操作类型：修改
    
22. 操作结果：已处理，删除文件
    
23. 
    
24. 进程ID：8416
    
25. 操作进程：C:\Users\Killer\Desktop\电脑飞机&7\电脑飞机&7.exe
    
26. 操作进程命令行：C:\Users\Killer\Desktop\电脑飞机&7\电脑飞机&7.exe
    
27. 父进程ID：5748
    
28. 父进程：C:\Windows\System32\ComputerDefaults.exe
    
29. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
30. 
    
31. 【4】2024-07-17 21:31:30,系统防护,系统加固,services.exe触犯注册表防护规则, 已允许
    
32. 
    
33. 防护项目：服务/驱动配置项
    
34. 操作类型：修改
    
35. 数据内容：\??\C:\ProgramData\girl.jpg
    
36. 目标注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\idzrcycjw\ImagePath
    
37. 操作结果：已允许
    
38. 进程ID：752
    
39. 操作进程：C:\Windows\System32\services.exe
    
40. 操作进程命令行：C:\Windows\system32\services.exe
    
41. 操作进程校验和：86662690D627002D7CAB3285F7BE3E6D87B35CFB
    
42. 父进程ID：612
    
43. 父进程：C:\Windows\System32\wininit.exe
    
44. 父进程命令行：wininit.exe
    
45. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
46. 
    
47. 【5】2024-07-17 21:31:14,系统防护,系统加固,电脑飞机&7.exe触犯注册表防护规则, 已允许
    
48. 
    
49. 防护项目：启动项
    
50. 操作类型：修改
    
51. 数据内容：C:\ProgramData\ljfjx\arphaCrashReport64.exe
    
52. 目标注册表：HKEY_USERS\S-1-5-21-1394208905-654642303-1773102929-1000\Software\Microsoft\Windows\CurrentVersion\Run\ljfjxd
    
53. 操作结果：已允许
    
54. 进程ID：2644
    
55. 操作进程：C:\Users\Killer\Desktop\电脑飞机&7\电脑飞机&7.exe
    
56. 操作进程命令行："C:\Users\Killer\Desktop\电脑飞机&7\电脑飞机&7.exe"
    
57. 操作进程校验和：FF2C7A3297BE526C1CC1AFB76FCC79A8EABF6A5D
    
58. 父进程ID：3816
    
59. 父进程：C:\Windows\explorer.exe
    
60. 父进程命令行：explorer.exe
    
61. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

复制代码

PS.  1.过分了啊，给的TG安装包居然还是染毒的（

2.还是老样子，白加黑部分没有被检测及处理到，白程序反虚拟环境，所以无法确认实际防御成功与否。

hsks

aboringman 发表于 2024-7-17 21:20
火绒：0

这个系列好像很喜欢带驱干杀软（

又被kill了（

dght432

卡巴斯基扫描miss，双击没反应





360拦截

aboringman

hsks 发表于 2024-7-17 21:20
又被kill了（

所以换人代打（

御坂14857号

EIS：露头就秒
虽然扫描和云就没杀过

00006666

这批样本差不多都是无视沙箱，奇安信沙箱只跑出外联

https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AZDA1zcFONZSmF3-yNGW

ANY.LNK

微软：至少就我的设备上解压+扫描未报告

断簪