52pojie看到的可疑样本

123fourf

原帖：
求助，这个文件是不是一个远控木马

原描述

文件是伪装，打开之后会有释放恶意文件。

双击文件会自动释放到C:\Users\Administrator\AppData\Local\Temp\

下载
原帖蓝奏https://bbmsj.lanzouq.com/iYZOR2dds11e



编辑：以下为错误内容

1. VT, anyrun首传
   
2. VT 0<a href="https://www.virustotal.com/gui/file/a805443797d26187039564c1624d3f353f7929add7386f3a6a67218c922600c0/detection" target="_blank">VirusTotal - File - a805443797d26187039564c1624d3f353f7929add7386f3a6a67218c922600c0</a>
   
3. anyrun跑了两次
   
4. 第一次似乎无释放
   
5. <a href="https://app.any.run/tasks/6e2cbc18-cf2b-499c-a5c3-629e7f3778b5" target="_blank">https://app.any.run/tasks/6e2cbc18-cf2b-499c-a5c3-629e7f3778b5</a>
   
6. <a href="https://app.any.run/tasks/329d6e79-6d3d-4857-b7b9-e1f99df8793f" target="_blank">https://app.any.run/tasks/329d6e79-6d3d-4857-b7b9-e1f99df8793f</a>
   
7. 
   
8. 分流<a href="https://wormhole.app/q5L4v#-OI_39K7X9jZvaYbsW1wPg" target="_blank">https://wormhole.app/q5L4v#-OI_39K7X9jZvaYbsW1wPg</a>

复制代码

心醉咖啡

360安全

dght432

vt全绿？？？

wwwab

1. 样本低质
原帖样本只是被 Synaptics (或称Synares/Xred) 蠕虫/感染型病毒感染的文件，大部分防病毒软件可以清除恶意代码修复该文件

2. 你上传和分流的样本与原帖样本不符
（1）你在VirusTotal、AnyRun和分流的wormhole上传的样本是损坏样本，无有效PE文件特征，请排查是防病毒软件修复错误还是解压缩错误
（2）如果损坏样本是损坏的PE文件，在损坏样本中也同样没有发现感染型病毒代码，可能是已被清除感染性恶意代码，修复过后的样本，不排除感染性恶意代码可能已被防病毒软件清除恶意代码处理。或者是解压缩错误得到的损坏的压缩包
原帖被Synaptics感染的PE文件样本，SHA-256: ae9c15b6f3c8671303f4f85945bdb15cf6a71dd952c607abd90668d4dfd14b81
你发布的样本（非有效PE文件，无感染性恶意代码），SHA-256: a805443797d26187039564c1624d3f353f7929add7386f3a6a67218c922600c0

123fourf

wwwab 发表于 2024-10-27 10:11
1. 样本低质
原帖样本只是被 Synaptics (或称Synares/Xred) 蠕虫/感染型病毒感染的文件，大部分防病毒软件 ...

我排查一下。我为了避免杀毒软件干扰开的干净的Windows沙盒下载再上传的，可能解压缩过程有问题？我发过来也想着是因为vt全绿，我看 ae9c15b6f3c8671303f4f85945bdb15cf6a71dd952c607abd90668d4dfd14b81这个 vt 60+，这样低质我就不传了

biue

腾讯电脑管家 1X

kaba666

卡巴杀

123fourf

wwwab 发表于 2024-10-27 10:11
1. 样本低质
原帖样本只是被 Synaptics (或称Synares/Xred) 蠕虫/感染型病毒感染的文件，大部分防病毒软件 ...

复现了一下，操作失误-->解压错误
问题流程：
下载后使用Windows 11 23h2右键菜单自带解压功能解压原压缩包，没有提示需要输入密码，但解压过程正常，打开文件夹后可以继续解压第二个压缩包，解压后文件大小一致

结论：大家别学我，没看清右键菜单选项，直接对着带密码的rar用系统自带解压，会出问题。能解压出和原文件大小一样的损坏文件