【VT=2】8cc3e3bdcf424bf741953d05b34821f7992511d01640a3a2b7a04d299c289397

显示全部楼层 · 发表于 2024-9-25 00:14:40

本帖最后由驭龙于 2024-9-25 01:13 编辑

https://www.virustotal.com/gui/f ... 99c289397/detection

VT上传是我传的

外联应该是这个

复制代码

应该是某种小工具，填写特殊地址才触发，可能这次真的不是毒吧

ELG分析无果

显示全部楼层 · 发表于 2024-9-25 16:10:27

本帖最后由神秘鬼于 2024-9-25 16:14 编辑

FSP 双击miss 这东西有外联啊

显示全部楼层 · 发表于 2024-9-25 00:27:17

微软上报

显示全部楼层 · 发表于 2024-9-25 00:38:33

護士執行miss

显示全部楼层 · 发表于 2024-9-25 00:43:42

761773275 发表于 2024-9-25 00:38
護士執行miss

那个外联的IP好像被Sophos判恶意的，没想到样本却被pass了

显示全部楼层 · 发表于 2024-9-25 00:45:35

驭龙发表于 2024-9-25 00:43
那个外联的IP好像被Sophos判恶意的，没想到样本却被pass了

我現在實機執行下，可能檢測虛擬環境了

显示全部楼层 · 发表于 2024-9-25 00:46:53

761773275 发表于 2024-9-25 00:45
我現在實機執行下，可能檢測虛擬環境了

这样本行为不多，但外联的IP是纯纯的恶意，我还是不建议实机测毒

显示全部楼层 · 发表于 2024-9-25 00:47:22

驭龙发表于 2024-9-25 00:46
这样本行为不多，但外联的IP是纯纯的恶意，我还是不建议实机测毒

是不是雙擊就觸發了，還是要怎麼觸發

显示全部楼层 · 发表于 2024-9-25 00:48:39

761773275 发表于 2024-9-25 00:47
是不是雙擊就觸發了，還是要怎麼觸發

看分析是运行就应该有用特殊端口连接那个IP，其他不清楚，没安装反编译软件

显示全部楼层 · 发表于 2024-9-25 00:51:04

驭龙发表于 2024-9-25 00:48
看分析是运行就应该有用特殊端口连接那个IP，其他不清楚，没安装反编译软件

這個東西反沙箱，我這裏沒檢查到外鏈

要麽是hmpa的主動沙箱模擬，要麽沒成功觸發

显示全部楼层 · 发表于 2024-9-25 00:52:50

761773275 发表于 2024-9-25 00:51
這個東西反沙箱，我這裏沒檢查到外鏈要麽是hmpa的主動沙箱模擬，要麽沒成功觸發

没想到这么小的文件都带反沙箱，现在的威胁越来越隐蔽了啊

[可疑文件] 【VT=2】8cc3e3bdcf424bf741953d05b34821f7992511d01640a3a2b7a04d299c289397