样本5X_385

QVM360

RT，未改后缀请小心食用，后果自负。。



载点：https://mc163.lanzoue.com/i4Aoc293bb5c     密码：infected

RainCloud9

卡巴前来食用
扫描杀出4个，剩余。。。让我看下（
一个js文件，但是被我删了。。。
反正杀出所有exe和一个_documento就是了（

877906025Z

江民2/5

心醉咖啡

火绒

莒县小哥

WD杀4枚

kaba666

卡巴全灭

孤勇者

卡巴斯基kill all

UNknownOoo

X-Sec
扫描：4x

1. ---------------------
   
2. 2024/09/03 21:49:04 Threat Detected: C:\Users\UnknownOoo\Downloads\1\BL_CI_PL_Awb_Shipping_Invoice_doc_0002000920242247820020031808174CN18000200092024_pdf.vbs -- [rame-cloud] Trojan.SAgent/VBS!8.132D5
   
3. 2024/09/03 21:49:04 Threat Detected: C:\Users\UnknownOoo\Downloads\1\Bootstrapper.exe -- [rame-tfe] Malware.Undefined!8.C
   
4. 2024/09/03 21:49:04 Threat Detected: C:\Users\UnknownOoo\Downloads\1\atks.exe -- [rame-cloud] Trojan.Undefined!8.1327C
   
5. 2024/09/03 21:49:05 Threat Detected: C:\Users\UnknownOoo\Downloads\1\_documento_575786.js -- [rame-cloud] Trojan.SAgent!8.10172
   

复制代码

UNknownOoo

火绒不是有AMSI了嘛...我跑一下动态试试...
好吧还是不怎么样（


火绒
运行：
atks.exe -> 内存防护捉

1. 病毒名称：Backdoor/CobaltStrike.l
   
2. 病毒ID：7E662B652271E28F
   
3. 虚拟地址：0x000000001B7F0000
   
4. 映像大小：4.0KB
   
5. 是否完整映像：否
   
6. 数据流哈希：496e7e04
   
7. 操作结果：已处理
   
8. 进程ID：1380
   
9. 操作进程：C:\Users\Administrator\Desktop\1\atks.exe
   
10. 操作进程命令行："C:\Users\Administrator\Desktop\1\atks.exe"
    
11. 父进程ID：5476
    
12. 父进程：C:\Windows\explorer.exe
    
13. 父进程命令行：C:\Windows\Explorer.EXE

复制代码

BL_CI_PL_Awb_Shipping_Invoice_doc_0002000920242247820020031808174CN18000200092024_pdf.vbs -> MISS
环境检测，但是隐藏执行powershell绕过



Bootstrapper.exe -> MISS


Invoice_11072023_3901111580_from.js -> 自退

YU2711

Avira 1x


双击
Bootstrapper.exe - 阻止行为

BL_CI_PL_Awb_Shipping_Invoice_doc_0002000920242247820020031808174CN18000200092024_pdf.vbs - 拦截网站


其余Miss