银狐木马 1X

显示全部楼层 · 发表于 2024-8-23 21:07:30

dght432 发表于 2024-8-23 21:05
你就把其他杀毒软件的查杀结果发给他们看看嘛，或者vt什么的

关键vt结果也就寥寥几个报毒的，卡巴也不怎么参考vt，发了大概也不会有用的

显示全部楼层 · 发表于 2024-8-23 21:08:03

dght432 发表于 2024-8-23 21:05
你就把其他杀毒软件的查杀结果发给他们看看嘛，或者vt什么的

火绒那边@UNknownOoo 一直在反馈，目前已经有专门特征了，可以问问有没有分析报告啥的，提供给别的厂家参考

显示全部楼层 · 发表于 2024-8-23 21:13:40

ESSP
Win64/TrojanDownloader.Agent.AZG 特洛伊木马的变量

显示全部楼层 · 发表于 2024-8-23 21:41:09

KES 12.6试用
跑不出来，基本上也是跟七楼一样，连了拼多多的ip(应该是这个？https://api.pinduoduo.com/api/server/_stm)后退出，processmon 进程树有 werfault.exe 但我没看到那个窗口。

有反虚拟机，但貌似没有检测qq，微信和钉钉？话说貌似微步Win7访问的那个myqcloud的bucket已经挂了？
https://s.threatbook.com/report/ ... a5dc74abd09fa8c632b
奇安信天穹 Win11
https://sandbox.qianxin.com/tq/r ... 067&sk=89439044
奇安信天穹 Win7
https://sandbox.qianxin.com/tq/r ... 9d8&sk=66023461

显示全部楼层 · 发表于 2024-8-23 21:54:44

呼啸山庄发表于 2024-8-23 21:41
KES 12.6试用
跑不出来，基本上也是跟七楼一样，连了拼多多的ip(应该是这个？https://api.pinduoduo.com/a ...

这个样本会旧一点，是两天前的(2024-08-21 23:43:00 UTC)，不排除远程地址失效了

有标日期的帖子，样本是新的

https://bbs.kafan.cn/thread-2272714-1-1.html

显示全部楼层 · 发表于 2024-8-23 22:15:53

dght432 发表于 2024-8-23 20:30
卡巴上报比较麻烦，所以拉黑比较晚，我星期一再提交技术支持看看

刚刚刷新VT，卡巴已经全部拉黑了

@1073328164

显示全部楼层 · 发表于 2024-8-23 22:30:24

00006666 发表于 2024-8-23 21:54
这个样本会旧一点，是两天前的(2024-08-21 23:43:00 UTC)，不排除远程地址失效了

有标日期的帖子，样 ...

好神奇，高级清除重启后日志里居然有这个样本的PDM！！！

显示全部楼层 · 发表于 2024-8-23 22:40:29

本帖最后由 aikafans 于 2024-8-23 22:42 编辑

UNknownOoo 发表于 2024-8-23 20:18
火绒
扫描

这是特征跟上来了？

显示全部楼层 · 发表于 2024-8-23 23:15:34

00006666 发表于 2024-8-23 22:15
刚刚刷新VT，卡巴已经全部拉黑了

@1073328164

那应该是处理了，不过周六日不会回复我处理结果，周一看看有没有哪些文件又告诉我是clean的

显示全部楼层 · 发表于 2024-8-24 20:16:36

提示: 该帖被管理员或版主屏蔽

[病毒样本] 银狐木马 1X