Signed Stealer 2X

显示全部楼层 · 发表于 2024-7-27 07:28:00

本帖最后由 hsks 于 2024-7-27 07:35 编辑

将近两个月前的样本，现在VT还是全绿（
https://x.com/evilcos/status/1816676874883682596
样本1

https://pan.huang1111.cn/s/MNNMkhx
样本2

https://pan.huang1111.cn/s/qggkwI3

得勾选“I have read...”并且将内容滚到底才能正常安装（

钓鱼网站：hxxps://dexis.app

显示全部楼层 · 发表于 2024-7-27 08:03:04

本帖最后由 DisaPDB 于 2024-7-27 08:07 编辑

360 miss all.

显示全部楼层 · 发表于 2024-7-27 09:07:37

卡巴扫描miss all

显示全部楼层 · 发表于 2024-7-27 10:23:37

金山毒霸扫描miss

显示全部楼层 · 发表于 2024-7-27 11:09:46

dght432 发表于 2024-7-27 09:07
卡巴扫描miss all

卡巴安装kill

显示全部楼层 · 发表于 2024-7-27 11:20:12

智量安装隔离拦截

显示全部楼层 · 发表于 2024-7-27 11:41:44

腾讯电脑管家 miss

显示全部楼层 · 发表于 2024-7-27 13:10:35

本帖最后由 UNknownOoo 于 2024-7-27 13:13 编辑

火绒
扫描:未检出
运行:~~主防拦截~~似乎只是阻断了部分行为，最终结果应该还是MISS（

病毒名称：Trojan/Injector.N
病毒路径：C:\Users\Administrator\AppData\Local\Temp\3a4daafe-2e3d-4f14-8023-1f84c568f12b\snss1.exe
操作结果：已处理
进程ID：924
操作进程命令行："C:\Users\Administrator\AppData\Local\Temp\3a4daafe-2e3d-4f14-8023-1f84c568f12b\snss1.exe"
父进程ID：10040
父进程：C:\Program Files (x86)\Dexis\Dexis.exe
父进程命令行："C:\Program Files (x86)\Dexis\Dexis.exe"

复制代码

显示全部楼层 · 发表于 2024-7-27 13:38:19

本帖最后由嘿嘿不能说于 2024-7-27 13:42 编辑

ESET：其中的一个运行，触发AMS和监控，重启未见异常

2024/7/27 13:28:43
高级内存扫描程序
文件
系统内存 > C:\Users\123aaa\AppData\Local\Temp\96a54066-8d3c-45d9-a804-103e522f7f2c\snss1.exe
Win32/TrojanDownloader.Rugmi.AKN.gen 特洛伊木马的变量
已通过删除清除
2E79A313F0B5613CE98E6CA9F490E553B0536513
2024/7/27 13:29:33
文件系统实时防护
文件
C:\Windows\Temp\{F328C000-998B-48BD-A372-C5C850F091A8}\.ba\Scriptorium.dll;Win32/TrojanDownloader.Rugmi.AJR.gen 特洛伊木马的变量
已通过删除清除 (下次重新启动后)
在通过应用程序创建的新文件上发生了事件: C:\Windows\Temp\{9F7ABB6A-4DB5-4EB2-BFA5-61251556F7C2}\.cr\snss2.exe (610D1B8FADD65134DA6BC0F85990ACA24980560D)
5FCF98BAF18D4E5327B215163CB8FC2400B5C9DA

复制代码

显示全部楼层 · 发表于 2024-7-27 14:39:13

微软目前扫描未报告，上报

[病毒样本] Signed Stealer 2X