#MSI SliverFox 1x （附分析）

显示全部楼层 · 发表于 2024-10-26 19:09:45

本帖最后由 DisaPDB 于 2024-10-26 19:12 编辑

今天在某贴吧吧群发现了一个有意思的样本：

样本本体为一个msi安装包，如下图所示：

该样本VT为首次上传，且初扫检出率为0

使用lessmsi对其进行查看，发现其内容如下：

解压出来的文件如下，

其中jjYyjYlekFzu.exe是一个7z解压缩器，而JsgCyWIqDXaqZBIMgXSL则是一个加密压缩包，通过观察发现密码为pUQolsVIzrNPnINNrWxBl，成功解压。

对tNhgwLMFXFDB.exe进行分析，发现其为Go编写的一个加载器，如图：

拖入ida，发现其会检查网络联通状态，访问许多正常网址，动态调用HeapAlloc函数，通过uuid形式加载shellcode

加载的shellcode在内存中解密后为一个pe文件，命中Gh0stRAT（Farfli）的特征

样本下载：https://www.123865.com/s/sAX5Vv-dQNX

显示全部楼层 · 发表于 2024-10-26 19:11:13

360未知

显示全部楼层 · 发表于 2024-10-26 19:20:19

Avast One 扫描miss
安天双击报衍生物
Trojan/Win32.Rozena(NULL@NULL)

显示全部楼层 · 发表于 2024-10-26 19:21:44

（EIS+智量）实机，扫描miss，双击EIS杀衍生

显示全部楼层 · 发表于 2024-10-26 19:22:59

ESET报suspicious

显示全部楼层 · 发表于 2024-10-26 19:40:48

本帖最后由 123456aaaafsdeg 于 2024-10-26 19:46 编辑

红伞双击

衍生物：
https://www.123684.com/s/kSM9-zYbbd

显示全部楼层 · 发表于 2024-10-26 19:43:28

火绒
运行：捉衍生物

病毒名称：TrojanDownloader/Small.gi
病毒ID：99A06CCE43E1A1E5
病毒路径：C:\Program Files\TransformDaringTutor\tNhgwLMFXFDB.exe
操作类型：修改
操作结果：已处理，删除文件
进程ID：2888
操作进程：C:\Program Files\TransformDaringTutor\jjYyjYlekFzu.exe
操作进程命令行："C:\Program Files\TransformDaringTutor\jjYyjYlekFzu.exe" x "C:\Program Files\TransformDaringTutor\JsgCyWIqDXaqZBIMgXSL" -o"C:\Program Files\TransformDaringTutor" -pUQolsVIzrNPnINNrWxBl -y
父进程ID：8928
父进程：C:\Windows\System32\msiexec.exe

复制代码

显示全部楼层 · 发表于 2024-10-26 19:51:03

卡巴已经云拉黑
UDS:Trojan.OLE2.Alien.gen

显示全部楼层 · 发表于 2024-10-26 20:25:33

sep 机学kill衍生物

显示全部楼层 · 发表于 2024-10-26 20:49:37

直接双击 360

[病毒样本] #MSI SliverFox 1x （附分析）

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源