收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 17X
返回列表 发新帖
查看: 505|回复: 8
收起左侧

[病毒样本] 17X

[复制链接]
hsks
发表于 2024-9-13 00:26:22 | 显示全部楼层 |阅读模式
本帖最后由 hsks 于 2024-9-13 00:37 编辑

network issue(
一堆被抢的(
这network issue导致的做包困难估计得到周末才能解决(
https://pan.huang1111.cn/s/jR1LDHy
https://www.123pan.com/s/FJUmjv-kl6N

评分

参与人数 1经验 +30 收起 理由
QVM360 + 30 版区有你更精彩: )

查看全部评分

回复

举报

xiaoxing365
发表于 2024-9-13 01:02:00 | 显示全部楼层
卡巴

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

ジ蓅暒划过づ
发表于 2024-9-13 01:16:02 | 显示全部楼层
ESET扫描实际KILL 9X 剩余8X


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

心醉咖啡
发表于 2024-9-13 02:12:42 | 显示全部楼层
火绒
  1. 病毒库时间:2024-09-12 18:17
  2. 开始时间:2024-09-13 02:10
  3. 总计用时:00:00:30
  4. 扫描对象:16340
  5. 扫描文件:17
  6. 发现风险:13
  7. 已处理风险:13
  8. 病毒详情:
  9. 风险路径:E:\浏览器下载\177\新建文件夹\guge_chorme_2024.msi, 病毒名:Trojan/BAT.Starter.da, 病毒ID:c46d5e5e53b52e45, 处理结果:已处理,删除文件
  10. 风险路径:E:\浏览器下载\177\新建文件夹\klind.exe, 病毒名:HEUR:Backdoor/Lotok.bb, 病毒ID:d46826b55974cb62, 处理结果:已处理,删除文件
  11. 风险路径:E:\浏览器下载\177\新建文件夹\aicoin-latestx64.exe, 病毒名:HEUR:Trojan/Fake.ai, 病毒ID:cdd050cded2b5d30, 处理结果:已处理,删除文件
  12. 风险路径:E:\浏览器下载\177\新建文件夹\chromex64.exe, 病毒名:Trojan/FakeApp.am, 病毒ID:2bd8a630c7465b11, 处理结果:已处理,删除文件
  13. 风险路径:E:\浏览器下载\177\新建文件夹\tsetup-x64.exe, 病毒名:HVM:TrojanDownloader/Lotok.u, 病毒ID:239b7f02b386d08b, 处理结果:已处理,删除文件
  14. 风险路径:E:\浏览器下载\177\新建文件夹\ToDesk (2).exe, 病毒名:HEUR:Trojan/Injector.bvu, 病毒ID:9223802471702bb1, 处理结果:已处理,删除文件
  15. 风险路径:E:\浏览器下载\177\新建文件夹\kuailian.exe, 病毒名:Trojan/BAT.Starter.ce, 病毒ID:e8f565ceb7fab691, 处理结果:已处理,删除文件
  16. 风险路径:E:\浏览器下载\177\新建文件夹\_中文_teleran_TG_X64_Z_HB_TELE_DES_gTOP_5_4_1.exe, 病毒名:Trojan/BAT.Starter.ce, 病毒ID:e8f565ceb7fab691, 处理结果:已处理,删除文件
  17. 风险路径:E:\浏览器下载\177\新建文件夹\aicoin-x64.msi >> datastate.dll, 病毒名:Trojan/HiJack.gd, 病毒ID:85592e9cfbd9e029, 处理结果:已处理,删除文件
  18. 风险路径:E:\浏览器下载\177\新建文件夹\google_setuI.msi >> Eastuop25.exe, 病毒名:HVM:TrojanDownloader/Lotok.ae, 病毒ID:e484cb402546932d, 处理结果:已处理,删除文件
  19. 风险路径:E:\浏览器下载\177\新建文件夹\google_setuI.msi >> Eastuop25.exe_1, 病毒名:HVM:TrojanDownloader/Lotok.ae, 病毒ID:e484cb402546932d, 处理结果:已处理,删除文件
  20. 风险路径:E:\浏览器下载\177\新建文件夹\guge_chorme_2024.msi >> MFCLibrary1.dll, 病毒名:Trojan/HiJack.ih, 病毒ID:c5dbd2ec40331598, 处理结果:已处理,删除文件
  21. 风险路径:E:\浏览器下载\177\新建文件夹\Setup.exe >> t3.bmp, 病毒名:Trojan/Generic!97BDC3EE6DE615C6, 病毒ID:97bdc3ee6de615c6, 处理结果:已处理,删除文件
复制代码


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

ongarabazanade
发表于 2024-9-13 08:43:55 | 显示全部楼层
360杀毒8X

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

1073328164
发表于 2024-9-13 10:04:51 | 显示全部楼层
迈克菲扫描 kill 4x

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

877906025Z
发表于 2024-9-13 10:34:02 | 显示全部楼层
江民6x
回复

举报

嘿嘿不能说
发表于 2024-9-13 10:58:41 | 显示全部楼层
本帖最后由 嘿嘿不能说 于 2024-9-13 11:11 编辑

kj-8584-FtP.exe(疑似环境检测):一段时间内无外联,无释放或下载其他衍生物行为,火绒无拦截

YoudaoDict_fanyiweb_uia.exe:安装时击杀1衍生物,安装失败,选择继续下去白程序也无法启动

  1. 病毒名称:Trojan/Hijack.ip
  2. 病毒ID:F685239A760C07A1
  3. 病毒路径:C:\Program Files (x86)\youdao\dict\Application\10.3.0.0\officeaddin\exceladdin\is-COBR6.tmp
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件

  7. 进程ID:3268
  8. 操作进程:C:\Users\AppData\Local\Temp\is-7IUF3.tmp\YoudaoDict_fanyiweb_uia.tmp
  9. 操作进程命令行:"C:\Users\AppData\Local\Temp\is-7IUF3.tmp\YoudaoDict_fanyiweb_uia.tmp" /SL5="$607AA,143697802,718848,C:\Users\Desktop\177\新建文件夹\YoudaoDict_fanyiweb_uia.exe" /SPAWNWND=$7050E /NOTIFYWND=$507D4
  10. 父进程ID:6280
  11. 父进程:C:\Users\Desktop\177\新建文件夹\YoudaoDict_fanyiweb_uia.exe
复制代码


exibir-fatura-mp-66e30a8c2204e.msi(环境检测)

tcgn-x64.5.1.9.msi:安装完成后击杀衍生物,但白程序还是正常启动了没有拦截(这里算是漏了,因为白程序成功加载黑dll,有外联且正常运行),手动执行扫描才彻底杀死了(因为黑dll已经先被干掉了)

  1. 病毒名称:Trojan/Generic!8184D79C968D015D
  2. 病毒ID:8184D79C968D015D
  3. 病毒路径:C:\Users\abd59b02-c6ed-4f93-8dad-820c92abc775\steam_api64.dll
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件

  7. 进程ID:1324
  8. 操作进程:C:\Windows\System32\msiexec.exe
  9. 操作进程命令行:C:\Windows\System32\MsiExec.exe -Embedding D52B291EAFFE645227325913F41C4265
  10. 父进程ID:9980
  11. 父进程:C:\Windows\System32\msiexec.exe
复制代码

  1. 风险路径:mem://5632-0x8a81986f-0x262de3a0000-C:\Users\abd59b02-c6ed-4f93-8dad-820c92abc775\down.exe, 病毒名:Backdoor/Lotok.ei, 病毒ID:dfc147455acd4b43, 处理结果:处理成功,进程已结束
  2. 风险路径:mem://5632-0x8a81986f-0x262de400000-C:\Users\abd59b02-c6ed-4f93-8dad-820c92abc775\down.exe, 病毒名:Backdoor/Lotok.fr, 病毒ID:66d33fc54803b220, 处理结果:处理失败,进程结束失败
  3. 风险路径:mem://5632-0x8a81986f-0x7ff719400000-C:\Users\abd59b02-c6ed-4f93-8dad-820c92abc775\down.exe, 病毒名:Trojan/Donut.g, 病毒ID:9dc5bdb5d9dfdb44, 处理结果:处理失败,进程结束失败
复制代码



YoudaoDict.msi:击杀1衍生物

  1. 病毒名称:Backdoor/Nitol.l
  2. 病毒ID:1EE1BE4B7D283825
  3. 病毒路径:C:\Program Files\AlignAdvocateBrave\HBqWcVOzxI29.exe
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件

  7. 进程ID:4324
  8. 操作进程:C:\Program Files\AlignAdvocateBrave\SdGMZBnVcZya.exe
  9. 操作进程命令行:"C:\Program Files\AlignAdvocateBrave\SdGMZBnVcZya.exe"  x "C:\Program Files\AlignAdvocateBrave\CfqbqwlsBkImozhluiNB" -o"C:\Program Files\AlignAdvocateBrave" -pqPUSdBCyjymGowjaYcmw -y
  10. 父进程ID:9008
  11. 父进程:C:\Windows\SysWOW64\msiexec.exe
复制代码


kuailian-seup.exe:触发内存防护,但是服务没有被解决所以又被自动拉起(而且之后不再会触发内存防护了),即使再次手动扫描也无法彻底解决(评价为漏)

  1. 病毒名称:Backdoor/Lotok.ei
  2. 病毒ID:DFC147455ACD4B43
  3. 虚拟地址:0x00000000015B0000
  4. 映像大小:272KB
  5. 是否完整映像:是
  6. 数据流哈希:9aa15052
  7. 操作结果:已处理
  8. 进程ID:9732
  9. 操作进程:C:\Windows\svorsejy2\svorsejy2.exe
  10. 操作进程命令行:"C:\Windows\svorsejy2\svorsejy2.exe" "44d75307"
  11. 父进程ID:2200
  12. 父进程:C:\Windows\svorsejy2\svorsejy2.exe
  13. 父进程命令行:"C:\Windows\svorsejy2\svorsejy2.exe" "a5b42116"
复制代码


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

yaokai815
发表于 2024-9-13 16:53:31 | 显示全部楼层
本帖最后由 yaokai815 于 2024-9-14 11:26 编辑

腾管 8x  瑞星 2x

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-9 09:43 , Processed in 0.146576 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表