收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 #studyoom 2X
123下一页
返回列表 发新帖
查看: 1054|回复: 22
收起左侧

[病毒样本] #studyoom 2X

  [复制链接]
wwwab
发表于 2024-9-23 19:59:26 | 显示全部楼层 |阅读模式
本帖最后由 wwwab 于 2024-9-23 20:05 编辑

该家族跟踪代号暂定为studyoom



Downloader:
16cef4fe9060ca7f12afa9c77039859d010a8426a1bc1bb8aa4af3b321dd65a6
https://www.virustotal.com/gui/f ... bb8aa4af3b321dd65a6
昨日VirusTotal检出率:5/73

今日VirusTotal检出率:8/73


该样本拉取studyoom.s3.ap-east-1.amazonaws.com/config.txt,该对象存储目前仍然存活,内容如下图所示:


释放白加黑,如下图所示:


down.lnk快捷方式启动白利用文件down.exe,如下图所示:




steam_api64.dll:
gzip: 498e79188a005b2456e7d4d3e46d74f708eb5707714f8861d61aa2c56e55b26d
解压后: deb32bfbd401504e4af5205a18e26707822f53ac4cf0aba60ae9fc0c1f34c484
https://www.virustotal.com/gui/f ... ba60ae9fc0c1f34c484
其对象存储中的steam_api64.dll实际是一个gzip文件,由于steam_api64.dll被膨胀至上百MB(501.06 MB),因此被打包为gzip的形式下载



昨日VirusTotal检出率:3/69

今日VirusTotal检出率:3/69




我们顺藤摸瓜发现了一些同源样本,如下图所示:


部分同源Downloader Hash:
08c789177c406c96b7407649e02a21c794c4aaf3edf156fec30d3c5c69e78a55
574f47af2d102f076fb67fcf12d67bf240a16470ee056ff40bceb98b24b87115
5e23e5f248889ca7eea67fd69e2a1861e0e8bd0bfb24f71cc743ce5b9887db40
636c5252cc083e653c54544facddf23d94425cc802466e3ab851b379bca2f9ae
c0c00b7972c677a06f73f305514e0e8779228aa8d73bd02bc539dbe6afdff857

部分同源steam_api64.dll Hash:
b22099423add163b45e9121a8dc2d547a1aa5a806776b1872ef434c562be7cfb

(9/70, https://www.virustotal.com/gui/f ... 1872ef434c562be7cfb)
----------
cd04dddbed822f2f184b5989685ef576dd22a13adc7a62a3eb42908ae15d17f9

(6/69, https://www.virustotal.com/gui/f ... 2a3eb42908ae15d17f9)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2魅力 +1 人气 +3 收起 理由
驭龙 + 3 版区有你更精彩: )
QVM360 + 1 版区有你更精彩: )

查看全部评分

回复

举报

Fadouse
发表于 2024-9-23 20:04:41 | 显示全部楼层
本帖最后由 Fadouse 于 2024-9-23 20:17 编辑

8月份核实工资.xlxs DI 静态 Kill

Steam_api64(后缀改exe) MDB Kill

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

玛姆库特
发表于 2024-9-23 20:07:08 | 显示全部楼层
EIS 解压

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Eset小粉絲
发表于 2024-9-23 20:10:02 | 显示全部楼层
@hsks 收集的垃圾 也有这类的样本
回复

举报

inhh1
发表于 2024-9-23 20:10:47 | 显示全部楼层
本帖最后由 inhh1 于 2024-9-23 21:11 编辑

BD一直对这个系列miss,刚刚上报了
更新:ATD能杀 记错了
高级威胁防护已开始对恶意进程执行清除操作。 进程路径: C:\Users\uuu\7b4524f5-e168-4dd3-ac97-c171392688c3\down.exe. 威胁名称: ATC.SuspiciousBehavior.1727F36E5E9D0137.
高级威胁防护已开始对恶意进程执行清除操作。 进程路径: C:\Users\uuu\Desktop\xlsx\8月份核实工资.exe. 威胁名称: ATC.SuspiciousBehavior.1727F36E0BAF7BFC.
高级威胁防护已阻止注入恶意代码的进程。 进程路径: C:\Users\uuu\7b4524f5-e168-4dd3-ac97-c171392688c3\down.exe. 威胁名称: Generic.Shellcode.Donut.Marte.!s!.D.D2F0D017.
回复

举报

Raven95676
发表于 2024-9-23 20:20:04 | 显示全部楼层
本帖最后由 Raven95676 于 2024-9-23 20:43 编辑

卡巴启发杀了exe

steam_api64.dll扫描miss
解压了以后扫描一样miss

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

skycai
发表于 2024-9-23 20:30:36 | 显示全部楼层
毒霸kill  火绒miss

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

846472713
发表于 2024-9-23 20:43:30 | 显示全部楼层
ESET 2x

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

YU2711
发表于 2024-9-23 21:23:22 | 显示全部楼层
Avira 监控1x


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

心醉咖啡
发表于 2024-9-23 21:28:20 | 显示全部楼层
360

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-30 20:33 , Processed in 0.136416 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表