收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 37X
12下一页
返回列表 发新帖
查看: 1376|回复: 11
收起左侧

[病毒样本] 37X

[复制链接]
hsks
发表于 2024-9-5 23:19:58 | 显示全部楼层 |阅读模式
本帖最后由 hsks 于 2024-9-6 02:14 编辑

最近挺流行修改时间戳(
以及


还有黑猫系列(指中转lnk都是heimao-XXX的)

新颖,看到有用vbs脚本当starter的
https://www.123pan.com/s/FJUmjv-e86N
https://pan.huang1111.cn/s/zMd9vfM
https://pan.xiaomuxi.cn/s/8lR2td

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +30 收起 理由
QVM360 + 30 版区有你更精彩: )

查看全部评分

回复

举报

877906025Z
发表于 2024-9-5 23:23:18 | 显示全部楼层
本帖最后由 877906025Z 于 2024-9-6 04:32 编辑

江民4/37,还把自己扫崩了拖出去埋了埋了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

hsks
 楼主| 发表于 2024-9-6 00:11:48 | 显示全部楼层
我在想我该不该分开发(
《4.64GB》
回复

举报

swizzer
发表于 2024-9-6 03:14:01 | 显示全部楼层
本帖最后由 swizzer 于 2024-9-6 03:26 编辑

Elastic
艰苦卓绝的双机测试+核对后确认成绩为36/37

EoIrkmiyzh28.exe在虚拟机和实体机都未展示行为

YoudaoDict_fanyiweb_uzx.exe的payload在虚拟机内重启后Elastic阻止rundll32相关的恶意行为+内存检测(Windows.Trojan.DragonBreath, 龙息?),实体机运行直接阻断payload (Malicious Behavior Prevention Alert: Suspicious DirectShow Devices Enumeration)

Payload为CKeyboardH.dll(是叫这个名字吗?)的几个需要二次执行,随后被检测为Shellcode Injection.

其他Payload均顺利被静态/内存/行为检出。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3人气 +7 收起 理由
Fadouse + 1 版区有你更精彩: )
aboringman + 1 DragonBreath似乎是组织名?
隔山打空气 + 5 版区有你更精彩: )

查看全部评分

回复

举报

隔山打空气
发表于 2024-9-6 08:45:05 | 显示全部楼层
swizzer 发表于 2024-9-6 03:14
Elastic
艰苦卓绝的双机测试+核对后确认成绩为36/37

Operation Dragon Breath=APT-Q-27“金眼狗”

修好了中文bug就是硬气(但好像还没修完
回复

举报

1073328164
发表于 2024-9-6 09:38:56 | 显示全部楼层
迈克菲扫描 kill 4x(稳定发挥)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

孤勇者
发表于 2024-9-6 09:41:42 | 显示全部楼层
卡巴斯基扫描kill23x
回复

举报

MrDeep
发表于 2024-9-6 11:26:30 | 显示全部楼层
本帖最后由 MrDeep 于 2024-9-6 11:29 编辑

ESET 预更新库 19x

  2. Version of detection engine: 29845P (20240906)
  3.     Date: 2024/9/6  Time: 11:14:17
  4.     C:\Users\*\Desktop\新建文件夹\goegloe.exe - a variant of Win32/GenKryptik.HAWE trojan - cleaned by deleting [1]
  5.     C:\Users\*\Desktop\新建文件夹\i4ails-5923.exe » INNO » files.info - unsupported option
  6.     C:\Users\*\Desktop\新建文件夹\klind.exe - a variant of Win32/GenKryptik.HAWE trojan - cleaned by deleting [1]
  7.     C:\Users\*\Desktop\新建文件夹\ChromePiSetup.exe » WINRARSFX » ChromeStandaloneSetup32.exe - a variant of Win32/Packed.NoobyProtect.O suspicious application - cleaned by deleting [1]
  8.     C:\Users\*\Desktop\新建文件夹\GOOGLE浏览器.exe » INNO » files.info - unsupported option
  9.     C:\Users\*\Desktop\新建文件夹\kuailian_install.msi » MSI » disk1.cab » CAB » lets[过滤]latest.exe » NSIS » Script.nsi - MSIL/Lets[过滤].A potentially unwanted application - action selection postponed until scan completion
  10.     C:\Users\*\Desktop\新建文件夹\lets[过滤]x64.exe » INNO » file0001.bin - error reading archive
  11.     C:\Users\*\Desktop\新建文件夹\psx64_2856.exe » INNO » files.info - unsupported option
  12.     C:\Users\*\Desktop\新建文件夹\Google Setup 2.4.56.exe - a variant of Win32/GenKryptik.HAWE trojan - cleaned by deleting [1]
  13.     C:\Users\*\Desktop\新建文件夹\quickq-setup.exe » ADVANCEDINSTALLER » quickq-setup1.cab » CAB » WindowsProgram.exe - a variant of Win32/Packed.NoobyProtect.O suspicious application - cleaned by deleting [1]
  14.     C:\Users\*\Desktop\新建文件夹\Kuai-18.exe » INDIGOROSE » %AppFolder%\Kuai\tdata\emoji\kll.exe - a variant of Win64/Injector.JN trojan - cleaned by deleting [1]
  15.     C:\Users\*\Desktop\新建文件夹\Lets-[过滤].exe » INNO » files.info - unsupported option
  16.     C:\Users\*\Desktop\新建文件夹\setup (2).exe » ADVANCEDINSTALLER » 8081227\FILES.7z » 7ZIP » WHelp.dll - a variant of Win32/Packed.FlyStudio.AA potentially unwanted application - action selection postponed until scan completion
  17.     C:\Users\*\Desktop\新建文件夹\setup (2).exe » ADVANCEDINSTALLER » 8081227\FILES.7z » 7ZIP » 676bfef9bf85.BXU » RAR5 »  - error - password-protected file
  18.     C:\Users\*\Desktop\新建文件夹\setup (2).exe » ADVANCEDINSTALLER » 8081227\FILES.7z » 7ZIP » 3e2f6479346e.IDA » RAR5 »  - error - password-protected file
  19.     C:\Users\*\Desktop\新建文件夹\setup (2).exe » ADVANCEDINSTALLER » 8081227\FILES.7z » 7ZIP » 1486698121e9.JQS » RAR5 »  - error - password-protected file
  20.     C:\Users\*\Desktop\新建文件夹\sogou_beate1.2.1.exe - a variant of Win32/GenKryptik.HAWE trojan - cleaned by deleting [1]
  21.     C:\Users\*\Desktop\新建文件夹\T0Desy_Setup.msi » MSI » disk1.cab » CAB » MFCLibrary2.dll - a variant of Win32/Agent.AGTB trojan - action selection postponed until scan completion
  22.     C:\Users\*\Desktop\新建文件夹\WindowsProgram.exe - a variant of Win32/Packed.NoobyProtect.O suspicious application - cleaned by deleting [1]
  23.     C:\Users\*\Desktop\新建文件夹\Writer-Spreadshdess_ktop_ZH_6.0.1.exe » INNO » files.info - unsupported option
  24.     C:\Users\*\Desktop\新建文件夹\sogou_pinyin_guanwang.exe » WINRARSFX » sogou_pinyin_guanwang_14.exe - a variant of Win32/Packed.NoobyProtect.O suspicious application - cleaned by deleting [1]
  25.     C:\Users\*\Desktop\新建文件夹\sogou_pinyin_guanwang.exe » WINRARSFX » sogou_pinyin_guanwang_14.8.exe » NSIS » SGDeskControl_1.0.0.2397.scpf » ZIP » kwallpapersdk.zip » ZIP » data/kvip/kvipgameico.zip » ZIP » 1001.ico - error - password-protected file
  26.     C:\Users\*\Desktop\新建文件夹\sogou_pinyin_guanwang.exe » WINRARSFX » sogou_pinyin_guanwang_14.8.exe » NSIS » SGDeskControl_1.0.0.2397.scpf » ZIP » kwallpapersdk.zip » ZIP » data/kvip/kvipgameico.zip » ZIP » 1002.ico - error - password-protected file
  27.     C:\Users\*\Desktop\新建文件夹\sogou_pinyin_guanwang.exe » WINRARSFX » sogou_pinyin_guanwang_14.8.exe » NSIS » SGDeskControl_1.0.0.2397.scpf » ZIP » kwallpapersdk.zip » ZIP » data/kvip/kvipgameico.zip » ZIP » 1003.ico - error - password-protected file
  28.     C:\Users\*\Desktop\新建文件夹\sogou_pinyin_guanwang.exe » WINRARSFX » sogou_pinyin_guanwang_14.8.exe » NSIS » SGDeskControl_1.0.0.2397.scpf » ZIP » kwallpapersdk.zip » ZIP » data/kvip/kvipgameico.zip » ZIP » 1004.ico - error - password-protected file
  29.     C:\Users\*\Desktop\新建文件夹\sogou_pinyin_guanwang.exe » WINRARSFX » sogou_pinyin_guanwang_14.8.exe » NSIS » SGDeskControl_1.0.0.2397.scpf » ZIP » kwallpapersdk.zip » ZIP » data/kvip/kvipgameico.zip » ZIP » 1005.ico - error - password-protected file
  30.     C:\Users\*\Desktop\新建文件夹\Youdao-Dfy.exe » ADVANCEDINSTALLER » 8FC8F86\FILES.7z » 7ZIP » WHelp.dll - a variant of Win32/Packed.FlyStudio.AA potentially unwanted application - action selection postponed until scan completion
  31.     C:\Users\*\Desktop\新建文件夹\Youdao-Dfy.exe » ADVANCEDINSTALLER » 8FC8F86\FILES.7z » 7ZIP » eedd61f42339.CDG » RAR5 »  - error - password-protected file
  32.     C:\Users\*\Desktop\新建文件夹\Youdao-Dfy.exe » ADVANCEDINSTALLER » 8FC8F86\FILES.7z » 7ZIP » 3b2484c8a494.QCI » RAR5 »  - error - password-protected file
  33.     C:\Users\*\Desktop\新建文件夹\Youdao-Dfy.exe » ADVANCEDINSTALLER » 8FC8F86\FILES.7z » 7ZIP » 5dd47da0de09.RWO » RAR5 »  - error - password-protected file
  34.     C:\Users\*\Desktop\新建文件夹\aicoin-latestx64.exe » INNO » files.info - unsupported option
  35.     C:\Users\*\Desktop\新建文件夹\bal-6.8-x64.exe » INNO » files.info - unsupported option
  36.     C:\Users\*\Desktop\新建文件夹\tradingviewx64.exe » INNO »  - archive damaged
  37.     C:\Users\*\Desktop\新建文件夹\wS-0107-Tkr.exe - a variant of Win64/GenKryptik.HBGT trojan - cleaned by deleting [1]
  38.     C:\Users\*\Desktop\新建文件夹\chromex64.exe » INNO » file0001.bin - error reading archive
  39.     C:\Users\*\Desktop\新建文件夹\ddd.exe - a variant of Win64/Injector.JN trojan - cleaned by deleting [1]
  40.     C:\Users\*\Desktop\新建文件夹\exe.exe - a variant of Win32/Packed.BlackMoon.A suspicious application - cleaned by deleting [1]
  41.     C:\Users\*\Desktop\新建文件夹\win32-quickq.exe » 7ZIP » uyd.exe - a variant of Win32/Injector.ETTM trojan - cleaned by deleting [1]
  42.     C:\Users\*\Desktop\新建文件夹\win_WPS1.3.1_seutp.exe - a variant of Win32/TrojanDropper.Agent.SZN trojan - cleaned by deleting [1]
  43.     C:\Users\*\Desktop\新建文件夹\youdao-qwplekos.exe » ADVANCEDINSTALLER » 8FC8F86\FILES.7z » 7ZIP » WHelp.dll - a variant of Win32/Packed.FlyStudio.AA potentially unwanted application - action selection postponed until scan completion
  44.     C:\Users\*\Desktop\新建文件夹\youdao-qwplekos.exe » ADVANCEDINSTALLER » 8FC8F86\FILES.7z » 7ZIP » 074211d09fe5.LVF » RAR5 »  - error - password-protected file
  45.     C:\Users\*\Desktop\新建文件夹\youdao-qwplekos.exe » ADVANCEDINSTALLER » 8FC8F86\FILES.7z » 7ZIP » 6dcd1181e6f3.OPU » RAR5 »  - error - password-protected file
  46.     C:\Users\*\Desktop\新建文件夹\youdao-qwplekos.exe » ADVANCEDINSTALLER » 8FC8F86\FILES.7z » 7ZIP » 5923875feb3f.SFU » RAR5 »  - error - password-protected file
  47.     C:\Users\*\Desktop\新建文件夹\比特浏览器 Setup 7.0.2.exe » INDIGOROSE - archive damaged
  48.     C:\Users\*\Desktop\新建文件夹\kuailian_install.msi » MSI » disk1.cab » CAB » lets[过滤]latest.exe » NSIS » Script.nsi - MSIL/Lets[过滤].A potentially unwanted application - deleted
  49.     C:\Users\*\Desktop\新建文件夹\setup (2).exe » ADVANCEDINSTALLER » 8081227\FILES.7z » 7ZIP » WHelp.dll - a variant of Win32/Packed.FlyStudio.AA potentially unwanted application - cleaned by deleting [1]
  50.     C:\Users\*\Desktop\新建文件夹\setup (2).exe » ADVANCEDINSTALLER » 8081227\FILES.7z » 7ZIP » 676bfef9bf85.BXU » RAR5 »  - error - password-protected file
  51.     C:\Users\*\Desktop\新建文件夹\setup (2).exe » ADVANCEDINSTALLER » 8081227\FILES.7z » 7ZIP » 3e2f6479346e.IDA » RAR5 »  - error - password-protected file
  52.     C:\Users\*\Desktop\新建文件夹\setup (2).exe » ADVANCEDINSTALLER » 8081227\FILES.7z » 7ZIP » 1486698121e9.JQS » RAR5 »  - error - password-protected file
  53.     C:\Users\*\Desktop\新建文件夹\T0Desy_Setup.msi » MSI » disk1.cab » CAB » MFCLibrary2.dll - a variant of Win32/Agent.AGTB trojan - deleted
  54.     C:\Users\*\Desktop\新建文件夹\Youdao-Dfy.exe » ADVANCEDINSTALLER » 8FC8F86\FILES.7z » 7ZIP » WHelp.dll - a variant of Win32/Packed.FlyStudio.AA potentially unwanted application - cleaned by deleting [1]
  55.     C:\Users\*\Desktop\新建文件夹\Youdao-Dfy.exe » ADVANCEDINSTALLER » 8FC8F86\FILES.7z » 7ZIP » eedd61f42339.CDG » RAR5 »  - error - password-protected file
  56.     C:\Users\*\Desktop\新建文件夹\Youdao-Dfy.exe » ADVANCEDINSTALLER » 8FC8F86\FILES.7z » 7ZIP » 3b2484c8a494.QCI » RAR5 »  - error - password-protected file
  57.     C:\Users\*\Desktop\新建文件夹\Youdao-Dfy.exe » ADVANCEDINSTALLER » 8FC8F86\FILES.7z » 7ZIP » 5dd47da0de09.RWO » RAR5 »  - error - password-protected file
  58.     C:\Users\*\Desktop\新建文件夹\youdao-qwplekos.exe » ADVANCEDINSTALLER » 8FC8F86\FILES.7z » 7ZIP » WHelp.dll - a variant of Win32/Packed.FlyStudio.AA potentially unwanted application - cleaned by deleting [1]
  59.     C:\Users\*\Desktop\新建文件夹\youdao-qwplekos.exe » ADVANCEDINSTALLER » 8FC8F86\FILES.7z » 7ZIP » 074211d09fe5.LVF » RAR5 »  - error - password-protected file
  60.     C:\Users\*\Desktop\新建文件夹\youdao-qwplekos.exe » ADVANCEDINSTALLER » 8FC8F86\FILES.7z » 7ZIP » 6dcd1181e6f3.OPU » RAR5 »  - error - password-protected file
  61.     C:\Users\*\Desktop\新建文件夹\youdao-qwplekos.exe » ADVANCEDINSTALLER » 8FC8F86\FILES.7z » 7ZIP » 5923875feb3f.SFU » RAR5 »  - error - password-protected file
  62.     Number of scanned objects: 20020
  63.     Number of detections: 19
  64.     Number of cleaned objects: 19
  65.     Time of completion: 11:18:17  Total scanning time: 240 sec (00:04:00)

  67.     Notes:
  68.     [1] Object has been deleted as it only contained the virus body.
复制代码
回复

举报

Gloria_唯
发表于 2024-9-6 11:50:37 | 显示全部楼层
火绒企业版 kill  14X 查杀率实在堪忧@火绒工程师

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

hsks
 楼主| 发表于 2024-9-6 11:55:06 | 显示全部楼层
本帖最后由 hsks 于 2024-9-6 12:14 编辑
swizzer 发表于 2024-9-6 03:14
Elastic
艰苦卓绝的双机测试+核对后确认成绩为36/37

EoIrkmiyzh28.exe没行为的话,那就是我拆msi拆废了,可能msi里有其他组件我没注意的,或者环境检测(检测样本是否释放在特定目录里)
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-1 00:45 , Processed in 0.128330 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表