收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 36X
12下一页
返回列表 发新帖
查看: 1512|回复: 18
收起左侧

[病毒样本] 36X

[复制链接]
hsks
发表于 2024-8-24 21:49:47 | 显示全部楼层 |阅读模式
本帖最后由 hsks 于 2024-8-25 00:35 编辑

一堆Dload.dll(
周末了,黑产稍微休息一下吧(
https://pan.huang1111.cn/s/qg2myT3
https://www.123pan.com/s/FJUmjv-2n6N
https://f.ws28.cn/f/ex426w98g8o
https://wormhole.app/KpvQ0#8bTGm5NPJGzxt3hls-KIUQ
https://pan.xiaomuxi.cn/s/OJOAhX

下面的两个样本请删除一个

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +30 收起 理由
QVM360 + 30 版区有你更精彩: )

查看全部评分

回复

举报

hsks
 楼主| 发表于 2024-8-24 22:36:09 | 显示全部楼层
文叔叔传好了,想下的赶紧下,不然就要收流量费了(
回复

举报

ジ蓅暒划过づ
发表于 2024-8-24 22:41:12 | 显示全部楼层
分享流量不足
回复

举报

hsks
 楼主| 发表于 2024-8-24 22:42:38 | 显示全部楼层
ジ蓅暒划过づ 发表于 2024-8-24 22:41
分享流量不足

再等1h+吧(
回复

举报

hsks
 楼主| 发表于 2024-8-24 23:16:24 | 显示全部楼层
ジ蓅暒划过づ 发表于 2024-8-24 22:41
分享流量不足

可以了
回复

举报

keen-qv 该用户已被删除
发表于 2024-8-24 23:26:06 | 显示全部楼层
hsks 发表于 2024-8-24 23:16
可以了

分享流量不足
回复

举报

UNknownOoo
发表于 2024-8-24 23:31:44 | 显示全部楼层
本帖最后由 UNknownOoo 于 2024-8-25 00:20 编辑

火绒
扫描:18x
  1. 病毒库时间:2024-08-24 17:58
  2. 开始时间:2024-08-24 23:28
  3. 总计用时:00:01:06
  4. 扫描对象:11636
  5. 扫描文件:37
  6. 发现风险:18
  7. 已处理风险:0
  8. 病毒详情:
  9. 风险路径:C:\Users\Administrator\Desktop\37X\DG_768891_401650MK.exe, 病毒名:Trojan/ShellLoader.ne, 病毒ID:ed7666454fc83ad7, 处理结果:暂不处理
  10. 风险路径:C:\Users\Administrator\Desktop\37X\goegloesuu.exe, 病毒名:HEUR:Backdoor/Lotok.bb, 病毒ID:d46826b55974cb62, 处理结果:暂不处理
  11. 风险路径:C:\Users\Administrator\Desktop\37X\chromex64.exe, 病毒名:HEUR:Trojan/Fake.ai, 病毒ID:caece5fe37697cc7, 处理结果:暂不处理
  12. 风险路径:C:\Users\Administrator\Desktop\37X\chromealatestsysceo23.81.exe >> stup5.14.8.bat, 病毒名:Trojan/BAT.Starter.ct, 病毒ID:b000c2d7d4db4b90, 处理结果:暂不处理
  13. 风险路径:C:\Users\Administrator\Desktop\37X\Google Chrome-x64-Setup.msi >> Dload.dll, 病毒名:Trojan/Loader.co, 病毒ID:eeb0f631773d37e8, 处理结果:暂不处理
  14. 风险路径:C:\Users\Administrator\Desktop\37X\KLL (2).exe, 病毒名:TrojanDownloader/W64.Agent.bh, 病毒ID:ddb663893f491d38, 处理结果:暂不处理
  15. 风险路径:C:\Users\Administrator\Desktop\37X\KLL.exe, 病毒名:Trojan/Injector.bsm, 病毒ID:eae78288c80f8c04, 处理结果:暂不处理
  16. 风险路径:C:\Users\Administrator\Desktop\37X\ai4ilools_setup-X64.msi >> Dload.dll, 病毒名:Trojan/Loader.co, 病毒ID:eeb0f631773d37e8, 处理结果:暂不处理
  17. 风险路径:C:\Users\Administrator\Desktop\37X\kuailian.exe, 病毒名:Trojan/BAT.Starter.ce, 病毒ID:e8f565ceb7fab691, 处理结果:暂不处理
  18. 风险路径:C:\Users\Administrator\Desktop\37X\kuai[过滤].exe, 病毒名:Trojan/BAT.Starter.ce, 病毒ID:e8f565ceb7fab691, 处理结果:暂不处理
  19. 风险路径:C:\Users\Administrator\Desktop\37X\letes-test.exe, 病毒名:Trojan/FakeApp.w, 病毒ID:ff8e61580d432a47, 处理结果:暂不处理
  20. 风险路径:C:\Users\Administrator\Desktop\37X\lets[过滤]x64.exe, 病毒名:HEUR:Trojan/Fake.ai, 病毒ID:aa60d3055f3a96e1, 处理结果:暂不处理
  21. 风险路径:C:\Users\Administrator\Desktop\37X\Mari.exe, 病毒名:TrojanDownloader/Lotok.bo, 病毒ID:29a54b570ef5cbfc, 处理结果:暂不处理
  22. 风险路径:C:\Users\Administrator\Desktop\37X\servin.exe, 病毒名:HEUR:Backdoor/Lotok.gm, 病毒ID:4f5d9094f44dd7bc, 处理结果:暂不处理
  23. 风险路径:C:\Users\Administrator\Desktop\37X\MOSGPP.exe, 病毒名:Trojan/BAT.Starter.ce, 病毒ID:e8f565ceb7fab691, 处理结果:暂不处理
  24. 风险路径:C:\Users\Administrator\Desktop\37X\UCK.exe, 病毒名:TrojanDownloader/Maloader.o, 病毒ID:c9840b021be42302, 处理结果:暂不处理
  25. 风险路径:C:\Users\Administrator\Desktop\37X\teleganxaizlianme.msi >> Dload.dll, 病毒名:Trojan/Loader.co, 病毒ID:eeb0f631773d37e8, 处理结果:暂不处理
  26. 风险路径:C:\Users\Administrator\Desktop\37X\win32-quickq.exe, 病毒名:HEUR:Backdoor/Lotok.bf, 病毒ID:fbb48967fd571028, 处理结果:暂不处理
复制代码

剩下运行:
网易有道翻译-install.exe -> 内存防护捉
  1. 病毒名称:Backdoor/Lotok.ei
  2. 病毒ID:DFC147455ACD4B43
  3. 虚拟地址:0x0000000089610000
  4. 映像大小:220KB
  5. 是否完整映像:否
  6. 数据流哈希:a64c2592
  7. 操作结果:已处理
  8. 进程ID:1440
  9. 操作进程:C:\Users\Administrator\AppData\Local\Programs\yodaodict\webbronw.exe
  10. 操作进程命令行:C:\Users\Administrator\AppData\Local\Programs\yodaodict\webbronw.exe AD5C3BDBE2F1A8D 7468 "C:\Users\Administrator\AppData\Local\Programs\yodaodict"
  11. 父进程ID:5896
  12. 父进程:C:\Windows\System32\ComputerDefaults.exe
  13. 父进程命令行:C:\Windows\system32\computerdefaults.exe
复制代码

xg-3202-XJB.exe -> MISS (?没明显行为

X64-3981.exe -> 特征捉衍生物
  1. 病毒名称:Trojan/HiJack.hy
  2. 病毒ID:E670DBF14530FC70
  3. 病毒路径:C:\Users\Administrator\AppData\Local\Programs\MTXiuXiu\is-9SQ06.tmp
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件
复制代码

wire解压包-64x-osle.exe -> 内存防护捉
  1. 病毒名称:Backdoor/Lotok.ei
  2. 病毒ID:DFC147455ACD4B43
  3. 虚拟地址:0x0000000079F30000
  4. 映像大小:272KB
  5. 是否完整映像:否
  6. 数据流哈希:551b8a08
  7. 操作结果:已处理
  8. 进程ID:3612
  9. 操作进程:C:\Users\Administrator\AppData\Local\Programs\ryas\Angrozg.exe
  10. 操作进程命令行:C:\Users\Administrator\AppData\Local\Programs\ryas\Angrozg.exe f432a90de6f055cf 6808 "C:\Users\Administrator\AppData\Local\Programs\ryas"
  11. 父进程ID:996
  12. 父进程:C:\Windows\System32\ComputerDefaults.exe
  13. 父进程命令行:C:\Windows\system32\computerdefaults.exe
复制代码

win32-67-quickq-e1.msi -> 环境检测

tradingviewx64.exe -> 拉黑衍生物
  1. 病毒名称:Trojan/Generic!7FCABE25256BAC64
  2. 病毒ID:7FCABE25256BAC64
  3. 病毒路径:C:\TradingView Desktop6.1.5.6 jXCe\appreascv\is-KAM8B.tmp
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件
复制代码

singna1 Setup.msi -> 拉黑衍生物,手动内存扫描捉
  1. 病毒名称:Trojan/Generic!ADBB956DCFF3E526
  2. 病毒ID:ADBB956DCFF3E526
  3. 病毒路径:C:\fhwwbu\EduWebContainer.dll
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件
复制代码
  1. 病毒详情:
  2. 风险路径:mem://1220-0xbdc9c1e0-0x2c10000-C:\fhwwbu\Agghosts.exe, 病毒名:Backdoor/Lotok.fr, 病毒ID:66d33fc54803b220, 处理结果:处理失败,进程结束失败
  3. 风险路径:mem://1220-0xbdc9c1e0-0x2d90000-C:\fhwwbu\Agghosts.exe, 病毒名:Backdoor/Lotok.fr, 病毒ID:66d33fc54803b220, 处理结果:处理成功,进程已结束
复制代码


Lo-8822-tdz.exe ->


letess[过滤].msi  -> 内存防护捉
  1. 病毒名称:Backdoor/Lotok.ei
  2. 病毒ID:DFC147455ACD4B43
  3. 虚拟地址:0x000000008D8E0000
  4. 映像大小:284KB
  5. 是否完整映像:否
  6. 数据流哈希:70ee7596
  7. 操作结果:已处理
  8. 进程ID:4016
  9. 操作进程:C:\Program Files (x86)\LDPreview\LDPreview.exe
  10. 操作进程命令行:"C:\Program Files (x86)\LDPreview\LDPreview.exe"
  11. 父进程ID:5596
  12. 父进程:C:\Windows\explorer.exe
  13. 父进程命令行:C:\Windows\Explorer.EXE
复制代码


launch3.exe -> MISS (?没明显行为

Iets[过滤]-Iatest.exe -> MISS,C2连不上(懂了,对面不下放模块就不会被内存捉(x)


gugellqii-chrome-setup-x64.msi -> 内存防护捉
  1. 病毒名称:Backdoor/Lotok.ei
  2. 病毒ID:DFC147455ACD4B43
  3. 虚拟地址:0x0000000001D40000
  4. 映像大小:220KB
  5. 是否完整映像:是
  6. 数据流哈希:acb24a6e
  7. 操作结果:已处理
  8. 进程ID:4424
  9. 操作进程:C:\Program Files (x86)\InstalleLslt\appoleprotd3.exe
  10. 操作进程命令行:"C:\Program Files (x86)\InstalleLslt\appoleprotd3.exe" d3e1d2e80f2 4072 "C:\Program Files (x86)\InstalleLslt"
  11. 父进程ID:10312
  12. 父进程:C:\Windows\System32\ComputerDefaults.exe
  13. 父进程命令行:C:\Windows\system32\computerdefaults.exe
复制代码

Gatherum Setup.exe -> MISS

Eternal Decay Setup.exe -> MISS

ChormeGPT_install.msi -> MISS


bitbrowser_Setup_7.0.1.1.exe -> 内存防护捉
  1. 病毒名称:Backdoor/Lotok.ei
  2. 病毒ID:DFC147455ACD4B43
  3. 虚拟地址:0x0000000065C20000
  4. 映像大小:220KB
  5. 是否完整映像:否
  6. 数据流哈希:e5d433ef
  7. 操作结果:已处理
  8. 进程ID:7720
  9. 操作进程:C:\Users\Administrator\AppData\Local\Programs\bitbrowner\webbronw.exe
  10. 操作进程命令行:C:\Users\Administrator\AppData\Local\Programs\bitbrowner\webbronw.exe AD5C3BDBE2F1A8D 3392 "C:\Users\Administrator\AppData\Local\Programs\bitbrowner"
  11. 父进程ID:7248
  12. 父进程:C:\Windows\System32\ComputerDefaults.exe
  13. 父进程命令行:C:\Windows\system32\computerdefaults.exe
复制代码

Be-8739-fpY.exe -> MISS (?没明显行为


aicoin-latestx64.exe -> 拉黑衍生物
  1. 病毒名称:Trojan/Generic!5316863950757482
  2. 病毒ID:5316863950757482
  3. 病毒路径:C:\AICoin2.10.1.3 fE6x5CfZY\aicoin\is-EAOLM.tmp
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件
复制代码

sunlogin.exe -> payload下载不下来(

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

877906025Z
发表于 2024-8-25 00:27:10 | 显示全部楼层
江民8/37,白下半天,稀碎)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

hsks
 楼主| 发表于 2024-8-25 00:31:54 | 显示全部楼层
本帖最后由 hsks 于 2024-8-25 00:33 编辑
UNknownOoo 发表于 2024-8-24 23:31
火绒
扫描:18x

你不说我没发现,我塞了重复样本(

那两个带EV签名的文件名格式一样的样本是#Latam,跟上面火绒查杀的报shellcode.ne属于巴西那边的马(

评分

参与人数 1人气 +1 收起 理由
UNknownOoo + 1 感谢解答: )

查看全部评分

回复

举报

ジ蓅暒划过づ
发表于 2024-8-25 00:33:33 | 显示全部楼层
ESET 扫描实际19 剩余18



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-9 22:52 , Processed in 0.134204 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表