收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 55X(两银狐样本)
12下一页
返回列表 发新帖
查看: 997|回复: 14
收起左侧

[病毒样本] 55X(两银狐样本)

[复制链接]
hsks
发表于 2024-9-21 22:45:01 | 显示全部楼层 |阅读模式
本帖最后由 hsks 于 2024-9-21 22:51 编辑

那个银狐不开opendir了(
https://www.123pan.com/s/FJUmjv-az6N
https://pan.huang1111.cn/s/75RZBcg

是的搞FakeAPP的黑产在两天就生产出这么多垃圾(
坏,有的样本忘改名字了,求放过(

评分

参与人数 4经验 +30 人气 +5 收起 理由
anxiety520 + 2 版区有你更精彩: )
Eset小粉絲 + 2 我爱垃圾:(
Fadouse + 1 感谢支持,欢迎常来: )
QVM360 + 30 版区有你更精彩: )

查看全部评分

回复

举报

Fadouse
发表于 2024-9-21 22:47:57 | 显示全部楼层
本帖最后由 Fadouse 于 2024-9-21 23:48 编辑

MDB + DI (移除沙箱双击自退的样本) 37/38 ~= 97.37%

解压 24x



静态 Miss:


*以下双击测试均在sandboxie沙箱中双击,不具备参考价值

双击 aicoin-x64.exe ->
  
双击 chrrmesetup.msi -> 自退
双击 googlups.msi -> 自退x2
双击 googlups_1.msi -> 自退x3
双击 i4_tools_setups_9190401.msi -> DI杀衍生物

双击 Iestvplas.exe -> MDB EDR



双击 ikhjtgfd.exe -> 自退x5
双击 klianghaxx.msi -> 自退x6
双击 klimd2.1.exe -> 沙箱双击安装进度不动,暂不测试
双击 Kuai_240920.msi -> 自退x7
双击 kuailian_install.exe -> MDB EDR + PUA


双击 kuilian89.msi ->  自退x8
双击 Launcher.exe -> MDB Kill 衍生物

双击 lets[过滤]-3.10.3-Install.exe -> Miss
双击 lets[过滤]-latest.exe -> MDB 拦截衍生物

双击 Setup_1.exe ->


双击 tdfhyug.exe -> MDB EDR + DI拦截衍生物

双击 ToDesk (2).exe -> MDB EDR + DI拦截衍生物


双击 ToDeSk_x64_4.7.4.7.exe -> DI拦截衍生物

双击 TwDush.msi -> 自退x9
双击 WPS Office_104693057_401535.msi -> 自退x10
双击 WPS-Office_10469357_401533.msi -> 自退x11
双击 wpsupdate.msi -> 自退x12
双击 Writer-Spreadshdess_ktop_ZH_6.0.1.exe -> MDB


双击 WSP_Setup_gw_18276.msi -> 自退x13
双击 Youdaeo.msi -> 自退x14
双击 YoudaoDict_fanyiweb.msi -> 自退x15
双击 YoudaoDict_fanyiweb_ero.exe -> MDB Kill衍生物


双击 下载包.msi -> 自退 x16
双击 中文TG_tele_grmai_X64_ios_win_5_.51.exe -> MDB EDR
双击 软件包安装.msi -> 自退 x17

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

anxiety520
发表于 2024-9-21 22:53:29 | 显示全部楼层
本帖最后由 anxiety520 于 2024-9-22 13:21 编辑

卡巴
扫描余30x
双击交给好心人做吧,,, 身体太累 心有余而力不足

回复

举报

hsks
 楼主| 发表于 2024-9-21 22:58:18 | 显示全部楼层
Fadouse 发表于 2024-9-21 22:47
MDB + DI 静态 23xMiss

那么快就扫完了(
回复

举报

ongarabazanade
发表于 2024-9-21 23:16:44 | 显示全部楼层
太大了,有点发怵。如果能几个帖子分开发就好了
回复

举报

hsks
 楼主| 发表于 2024-9-21 23:17:10 | 显示全部楼层
ongarabazanade 发表于 2024-9-21 23:16
太大了,有点发怵。如果能几个帖子分开发就好了

网盘网络杀软硬盘精力压力测试(
回复

举报

ongarabazanade
发表于 2024-9-21 23:21:00 | 显示全部楼层
hsks 发表于 2024-9-21 23:17
网盘网络杀软硬盘精力压力测试(

这是给强者的测试,我是阿衰,风紧扯呼晚安,吉祥
回复

举报

UNknownOoo
发表于 2024-9-21 23:25:34 | 显示全部楼层
本帖最后由 UNknownOoo 于 2024-9-22 00:17 编辑

火绒
扫描:捉30x(实际剩下27x
  1. 病毒库时间:2024-09-21 16:06
  2. 开始时间:2024-09-21 23:23
  3. 总计用时:00:01:25
  4. 扫描对象:40862
  5. 扫描文件:55
  6. 发现风险:30
  7. 已处理风险:0
  8. 病毒详情:
  9. 风险路径:C:\Users\Administrator\Desktop\55\EastDraw25.exe, 病毒名:HVM:TrojanDownloader/Lotok.ae, 病毒ID:e484cb402546932d, 处理结果:暂不处理
  10. 风险路径:C:\Users\Administrator\Desktop\55\ddd.exe, 病毒名:Trojan/Injector.bhp, 病毒ID:8907d00f9644703e, 处理结果:暂不处理
  11. 风险路径:C:\Users\Administrator\Desktop\55\Chornne Setup.msi, 病毒名:Trojan/BAT.Starter.da, 病毒ID:c46d5e5e53b52e45, 处理结果:暂不处理
  12. 风险路径:C:\Users\Administrator\Desktop\55\goegloe.exe, 病毒名:HEUR:Backdoor/Lotok.bb, 病毒ID:d46826b55974cb62, 处理结果:暂不处理
  13. 风险路径:C:\Users\Administrator\Desktop\55\Chromo谷歌.exe, 病毒名:HEUR:Backdoor/Lotok.bb, 病毒ID:d46826b55974cb62, 处理结果:暂不处理
  14. 风险路径:C:\Users\Administrator\Desktop\55\aicoin-latestx64.exe, 病毒名:HEUR:Trojan/Fake.ai, 病毒ID:cdd050cded2b5d30, 处理结果:暂不处理
  15. 风险路径:C:\Users\Administrator\Desktop\55\GPT_Chorme_install.exe, 病毒名:HEUR:Backdoor/Lotok.bb, 病毒ID:d46826b55974cb62, 处理结果:暂不处理
  16. 风险路径:C:\Users\Administrator\Desktop\55\chrrmesetup.msi, 病毒名:Trojan/VBS.Starter.ad, 病毒ID:25ba1e112487d83e, 处理结果:暂不处理
  17. 风险路径:C:\Users\Administrator\Desktop\55\i4Tools8_v8.28_Setup_x64.exe, 病毒名:HEUR:Trojan/Injector.bvu, 病毒ID:9223802471702bb1, 处理结果:暂不处理
  18. 风险路径:C:\Users\Administrator\Desktop\55\googlups.msi, 病毒名:Trojan/VBS.Starter.ad, 病毒ID:25ba1e112487d83e, 处理结果:暂不处理
  19. 风险路径:C:\Users\Administrator\Desktop\55\Ists64050.exe, 病毒名:HEUR:Trojan/Fake.ai, 病毒ID:70d22bb20a03747c, 处理结果:暂不处理
  20. 风险路径:C:\Users\Administrator\Desktop\55\googlups_1.msi, 病毒名:Trojan/VBS.Starter.ad, 病毒ID:25ba1e112487d83e, 处理结果:暂不处理
  21. 风险路径:C:\Users\Administrator\Desktop\55\Launcher.exe, 病毒名:TrojanDownloader/MSIL.Small.ip, 病毒ID:9a7268eeb0773227, 处理结果:暂不处理
  22. 风险路径:C:\Users\Administrator\Desktop\55\lets[过滤]-latest.exe, 病毒名:Trojan/BAT.Agent.cw, 病毒ID:e0a78361fca5772b, 处理结果:暂不处理
  23. 风险路径:C:\Users\Administrator\Desktop\55\Chornne Setup.msi >> MFCLibrary1.dll, 病毒名:Trojan/HiJack.ih, 病毒ID:c5dbd2ec40331598, 处理结果:暂不处理
  24. 风险路径:C:\Users\Administrator\Desktop\55\setup-37521.exe, 病毒名:Trojan/Injector.bsm, 病毒ID:96e801ab9f3746d8, 处理结果:暂不处理
  25. 风险路径:C:\Users\Administrator\Desktop\55\setup-37521.exe >> ddd.exe, 病毒名:Trojan/Injector.bsm, 病毒ID:96e801ab9f3746d8, 处理结果:暂不处理
  26. 风险路径:C:\Users\Administrator\Desktop\55\kuilian89.msi, 病毒名:Trojan/VBS.Starter.ad, 病毒ID:25ba1e112487d83e, 处理结果:暂不处理
  27. 风险路径:C:\Users\Administrator\Desktop\55\TG-telegram_TELEGRAMx64--trz__TELE-5.51.exe, 病毒名:Trojan/BAT.Starter.ce, 病毒ID:e8f565ceb7fab691, 处理结果:暂不处理
  28. 风险路径:C:\Users\Administrator\Desktop\55\klianghaxx.msi, 病毒名:Trojan/VBS.Starter.ad, 病毒ID:25ba1e112487d83e, 处理结果:暂不处理
  29. 风险路径:C:\Users\Administrator\Desktop\55\win32-quickq.exe, 病毒名:Trojan/FakeApp.ad, 病毒ID:7feb314992bc0bbc, 处理结果:暂不处理
  30. 风险路径:C:\Users\Administrator\Desktop\55\WPS Office_104693057_401535.msi, 病毒名:Trojan/VBS.Starter.ad, 病毒ID:25ba1e112487d83e, 处理结果:暂不处理
  31. 风险路径:C:\Users\Administrator\Desktop\55\WPS-Office_10469357_401533.msi, 病毒名:Trojan/VBS.Starter.ad, 病毒ID:25ba1e112487d83e, 处理结果:暂不处理
  32. 风险路径:C:\Users\Administrator\Desktop\55\Setup_1.exe >> launch3.exe, 病毒名:Trojan/Generic!8C17AE4E418A9048, 病毒ID:8c17ae4e418a9048, 处理结果:暂不处理
  33. 风险路径:C:\Users\Administrator\Desktop\55\Ywiwi_x64.0.exe, 病毒名:Trojan/BAT.Starter.cc, 病毒ID:ce4a927298222e84, 处理结果:暂不处理
  34. 风险路径:C:\Users\Administrator\Desktop\55\下载包.msi, 病毒名:Trojan/BAT.Starter.cx, 病毒ID:0b1d7dafb2eda4b0, 处理结果:暂不处理
  35. 风险路径:C:\Users\Administrator\Desktop\55\zSQ8_Kuai.exe, 病毒名:Trojan/BAT.Starter.ce, 病毒ID:e8f565ceb7fab691, 处理结果:暂不处理
  36. 风险路径:C:\Users\Administrator\Desktop\55\软件包安装.msi, 病毒名:Trojan/BAT.Starter.cx, 病毒ID:0b1d7dafb2eda4b0, 处理结果:暂不处理
  37. 风险路径:C:\Users\Administrator\Desktop\55\中文TG_teleran_TGX_Z_HB_TELE_DESKTOP_5.5.1_TG64.exe, 病毒名:Trojan/BAT.Starter.ce, 病毒ID:e8f565ceb7fab691, 处理结果:暂不处理
  38. 风险路径:C:\Users\Administrator\Desktop\55\中文_TG_zh_tele_grmai_X64_ios_win.exe, 病毒名:Trojan/BAT.Starter.ce, 病毒ID:e8f565ceb7fab691, 处理结果:暂不处理
复制代码

剩下运行:
aicoin-x64.exe -> 特征捉衍生物
  1. 病毒名称:Trojan/HiJack.gd
  2. 病毒ID:85592E9CFBD9E029
  3. 病毒路径:C:\Users\Administrator\AppData\Roaming\BrowserProtect\datastate.dll
复制代码

i4_tools_setups_9190401.msi -> 环境检测

Iestvplas.exe -> 内存防护捉
  1. 病毒名称:TrojanSpy/Keylogger.cs
  2. 病毒ID:072CAAA65BC186AB
  3. 虚拟地址:0x00000000EDC20000
  4. 映像大小:4.3MB
  5. 是否完整映像:否
  6. 数据流哈希:cc9dab73
  7. 操作结果:已处理
  8. 进程ID:8284
  9. 操作进程:C:\Users\Administrator\AppData\Local\Programs\1etosvxpn\svorumsb4.exe
复制代码

ikhjtgfd.exe -> 拉黑衍生物
  1. 病毒名称:Trojan/Generic!662D1168B99414DD
  2. 病毒ID:662D1168B99414DD
  3. 病毒路径:C:\Users\Default\Desktop\BuBENMWSJRQQ\yybob\TDPINFO.dll
复制代码

klimd0.2.exe -> 内存防护捉
  1. 病毒名称:Backdoor/Lotok.ei
  2. 病毒ID:DFC147455ACD4B43
  3. 虚拟地址:0x000000000A2E0000
  4. 映像大小:272KB
  5. 是否完整映像:否
  6. 数据流哈希:7d4f4a7
  7. 操作结果:已处理
  8. 进程ID:2672
  9. 操作进程:C:\Users\Administrator\AppData\Local\Programs\vfor64xletos\svmentw.exe
复制代码

klimd2.1.exe -> 拉黑衍生物
  1. 病毒名称:Trojan/Generic!662D1168B99414DD
  2. 病毒ID:662D1168B99414DD
  3. 病毒路径:C:\Users\Default\Desktop\AnRIEEGQLAQU\yybob\TDPINFO.dll
复制代码

Kuai_240920.msi -> 特征捉衍生物
  1. 病毒名称:HEUR:Trojan/HiJack.f
  2. 病毒ID:98E83DE5C4D51F8C
  3. 病毒路径:C:\Users\Public\Documents\TT\libAppUpdate.dll
复制代码

kuailian.exe -> 内存防护捉
  1. 病毒名称:TrojanSpy/Keylogger.cs
  2. 病毒ID:072CAAA65BC186AB
  3. 虚拟地址:0x00000000E8D50000
  4. 映像大小:10.9MB
  5. 是否完整映像:否
  6. 数据流哈希:624d05d4
  7. 操作结果:已处理
  8. 进程ID:7332
  9. 操作进程:C:\Users\Administrator\AppData\Local\Programs\Ist3806setup\sptratb2.exe
复制代码

kuailian_install.exe -> 内存防护捉
  1. 病毒名称:Backdoor/Lotok.ei
  2. 病毒ID:DFC147455ACD4B43
  3. 虚拟地址:0x0000000038FD0000
  4. 映像大小:272KB
  5. 是否完整映像:否
  6. 数据流哈希:998002a0
  7. 操作结果:已处理
  8. 进程ID:3420
  9. 操作进程:C:\Users\Administrator\AppData\Local\Programs\1etsvxpn\scnoverst.exe
复制代码

Ledsaqp.exe -> 内存防护捉
  1. 病毒名称:Backdoor/Lotok.ei
  2. 病毒ID:DFC147455ACD4B43
  3. 虚拟地址:0x00000000A2950000
  4. 映像大小:272KB
  5. 是否完整映像:否
  6. 数据流哈希:a6e34998
  7. 操作结果:已处理
  8. 进程ID:9996
  9. 操作进程:C:\Users\Administrator\AppData\Local\Programs\Lvsprons\svcorejy3.exe
复制代码

Letas-2.0.1-ia32.msi -> 拉黑衍生物
  1. 病毒名称:Trojan/Generic!628E3ADF338877C4
  2. 病毒ID:628E3ADF338877C4
  3. 病毒路径:C:\Program Files (x86)\lets-latest\lets-latest\lets-latest\Apack.dll
复制代码

lets[过滤]-3.10.3-Install.exe -> MISS


tdfhyug.exe -> 拉黑衍生物
  1. 病毒名称:Trojan/Generic!662D1168B99414DD
  2. 病毒ID:662D1168B99414DD
  3. 病毒路径:C:\Users\Default\Desktop\MiKWVHOXWQSB\yybob\TDPINFO.dll
复制代码

ToDesk (2).exe -> 特征捉衍生物
  1. 病毒名称:Trojan/Injector.bhp
  2. 病毒ID:8907D00F9644703E
  3. 病毒路径:C:\Program Files\SSD\SSD\ddd.exe
复制代码

ToDeSk_x64_4.7.4.7.exe -> 拉黑衍生物
  1. 病毒名称:Trojan/Generic!8BB69705F96A0B8F
  2. 病毒ID:8BB69705F96A0B8F
  3. 病毒路径:C:\Users\Administrator\AppData\Roaming\Hainan YouQu Technology Co., Ltd\ToDesk 4.8.4.8\install\7BAEA12\Tools\wmicodegen.dll
复制代码

TwDush.msi -> 内存防护反复捉进程


win32-quickqs.exe -> 可能的环境检测

win32-quickqS1.0.3.exe -> 可能的环境检测

WPS_Office_PPT_PDF-_Setup.msi -> 拉黑衍生物
  1. 病毒名称:Trojan/Generic!1503B4E32811324D
  2. 病毒ID:1503B4E32811324D
  3. 病毒路径:C:\Program Files (x86)\wps\wps\wps\Apack.dll
复制代码

wpsupdate.msi -> 可能的环境检测

wps-WPS——X64.msi -> 拉黑衍生物
  1. 病毒名称:Trojan/Generic!1503B4E32811324D
  2. 病毒ID:1503B4E32811324D
  3. 病毒路径:C:\Program Files (x86)\wps\wps\wps\Apack.dll
复制代码

Writer-Spreadshdess_ktop_ZH_6.0.1.exe -> 特征捉衍生物
  1. 病毒名称:Trojan/HiJack.jd
  2. 病毒ID:E6FEAD66C5155AAD
  3. 病毒路径:C:\Users\Administrator\AppData\Local\Programs\wpsproffioe\is-A75F1.tmp
复制代码

WSP_Setup_gw_18276.msi -> 内存防护捉
  1. 病毒名称:Backdoor/Farfli.bo
  2. 病毒ID:D054CE08A1374E02
  3. 虚拟地址:0x0000000005960000
  4. 映像大小:156KB
  5. 是否完整映像:否
  6. 数据流哈希:3313f959
  7. 操作结果:已处理
  8. 进程ID:1636
  9. 操作进程:C:\Windows\SysWOW64\rundll32.exe
复制代码

Youdaeo.msi -> 进程被反复拉起自退


YoudaoDict_fanyiweb.msi -> 监控捉一衍生物,内存扫描检测(但是无法终止被注入进程)
  1. 病毒名称:Trojan/Loader.co
  2. 病毒ID:672BE1530D90B347
  3. 病毒路径:C:\Users\Administrator\3eb7a084-761e-4a9a-a1b4-445a140d2d01\steam_api64.dll
复制代码
  1. 病毒名称:Trojan/Donut.g
  2. 病毒ID:9DC5BDB5D9DFDB44
  3. 虚拟地址:0x00000000A9820000
  4. 映像大小:196KB
  5. 是否完整映像:否
  6. 数据流哈希:21029949
  7. 操作结果:已处理
  8. 进程ID:8136
  9. 操作进程:C:\Windows\System32\colorcpl.exe

  11. 病毒名称:Backdoor/Lotok.ei
  12. 病毒ID:DFC147455ACD4B43
  13. 虚拟地址:0x00000000AB600000
  14. 映像大小:332KB
  15. 是否完整映像:否
  16. 数据流哈希:21029949
  17. 操作结果:已处理
  18. 进程ID:8136
  19. 操作进程:C:\Windows\System32\colorcpl.exe
复制代码



YoudaoDict_fanyiweb_ero.exe -> 特征捉衍生物
  1. 病毒名称:Trojan/Hijack.ip
  2. 病毒ID:F685239A760C07A1
  3. 病毒路径:C:\Program Files (x86)\YouDaocFanYi\10.3.0.0\recognition\is-BD8UI.tmp
复制代码

中文TG_tele_grmai_X64_ios_win_5_.51.exe -> 特征捉衍生物
  1. 病毒名称:Trojan/HiJack.jd
  2. 病毒ID:E6FEAD66C5155AAD
  3. 病毒路径:C:\Users\Administrator\AppData\Local\Programs\TG-zh\is-VNANI.tmp
复制代码

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

全身发抖
发表于 2024-9-21 23:41:35 | 显示全部楼层
本帖最后由 全身发抖 于 2024-9-22 08:23 编辑

自制杀毒 28/55 稍微低了
回复

举报

hsks
 楼主| 发表于 2024-9-21 23:49:29 | 显示全部楼层
Fadouse 发表于 2024-9-21 22:47
MDB + DI (移除沙箱双击自退的样本) 37/38 ~= 97.37%

解压 24x

怎么都是自退啊(知道是环境问题)(
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-30 20:46 , Processed in 0.138567 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表