假电报

ongarabazanade

驭龙 发表于 2024-9-8 18:04
360跟MD学坏了？拉黑有密码的压缩包了么？

我输入密码了啊

玛姆库特

实机安装完成后，智量盾秒杀Testoss.exe赠送官方正版电报一枚

驭龙

ongarabazanade 发表于 2024-9-8 18:24
我输入密码了啊

你这个截图，一看我就明白了，之前那截图报的是压缩包，没有显示包内的样本，我还以为是拉黑压缩包了。

这次看到压缩包的内容了，感谢解答

Shake2333

McAfee扫描miss

aikafans

avast 双击 miss

Fadouse

卡巴Kill

1. Event: Malicious object detected
   
2. Application: Windows® installer
   
3. User: LAPTOP\fadou
   
4. User type: Initiator
   
5. Component: System Watcher
   
6. Result description: Detected
   
7. Name: PDM:HackTool.Win32.Yzon.a
   
8. Threat level: High
   
9. Object type: Process
   
10. Object path: E:\Code\Virus
    
11. Object name: tsetup-x64.msi
    
12. Reason: Behavior analysis
    
13. Databases release date: Today, 9/8/2024 5:16:00 PM
    
14. MD5: F0A3347F2E88879769A0463FA7909FF4

复制代码

761773275

護士miss

wwwab

https://www.virustotal.com/gui/f ... 0e87bbd8034548a7f9d
衍生物是直接放在 msi => cab => exe 里面的，非常常规的msi
可能因为这个msi比较大，所以vt上面的引擎不会解包那么深入，解包程度比较粗糙，防止来不及解包导致引擎扫描超时
把衍生物单独拿出来在vt上扫描，检出率还是有7家的

Luna_ovo

会在hxxp://45.194.37.7/Test.txt下载文件（也可能是原来的无毒程序的）


读取了2个浏览器的路径

file:
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

file:
c:\program files (x86)\mozilla firefox\firefox.exe





内存中存在的网址（也可能是原来的无毒程序的）：
url:
hxxp://tl.symcb.com/tl.crl0

url:
hxxps://d.symcb.com/rpa0

url:
hxxp://t2.symcb.com0



========扫描========

小红伞免费版扫描未见异常，主防就更不用想了，双击miss


安全中心和小红伞一样



火绒报毒



eset扫描未见异常，实体机的eset就不测hips（他的主动防御太弱了）

scottxzt

MD 零信任