r77rootkit计划任务powershell执行注册表代码，开机注入所有进程

显示全部楼层 · 发表于 2024-7-22 15:38:37

本帖最后由落华无痕于 2024-7-22 20:56 编辑

样本（infected）：https://free.lanzoue.com/i7PLC257g5ri

注入所有进程，主要是dllhost.exe。跟上个帖子的kaptsegthwf.exe同源：https://bbs.kafan.cn/thread-2271377-1-1.html

双击食用方法：1.导入software.reg。2.taskschd.msc计划任务里导入tasks文件夹的两个文件。3.重启电脑。
可能依赖.net3.5组件，需要预先安装。注册表导出exe文件：https://free.lanzoue.com/iZ72l258bw4d

显示全部楼层 · 发表于 2024-7-22 15:43:07

360安全卫士扫描安全
金山毒霸安全

显示全部楼层 · 发表于 2024-7-22 15:43:27

卡巴扫描HEUR:Trojan.Multi.Agent.gen

显示全部楼层 · 发表于 2024-7-22 15:47:50

迈克菲扫描 miss

显示全部楼层 · 发表于 2024-7-22 16:12:28

===============================================================
ThreatBook Agent杀毒扫描日志
病毒库版本：2024-04-12 02:39:05
扫描类型：自定义扫描
开始时间：2024/07/22 16:11:45
扫描用时：2秒
扫描文件总数：3
发现风险数：0
已处置风险数：0
风险详情：
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
文件类型 sha256 检测引擎处置结果威胁名称文件路径
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
===============================================================

显示全部楼层 · 发表于 2024-7-22 16:22:11

ESET 杀2个XML，全部报：PowerShell/Agent.ALB

显示全部楼层 · 发表于 2024-7-22 16:44:36

显示全部楼层 · 发表于 2024-7-22 16:55:17

腾讯电脑管家 3X

显示全部楼层 · 发表于 2024-7-22 17:01:38

360 2x

显示全部楼层 · 发表于 2024-7-22 18:41:31

ESET 2x

[病毒样本] r77rootkit计划任务powershell执行注册表代码，开机注入所有进程

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源