疑似远控？（PYAS官方群里的）

显示全部楼层 · 发表于 2024-11-6 19:51:51

本帖最后由 noname114514 于 2024-11-6 19:51 编辑

pyas群里的，不知道是不是以前的样本

下载链接：https://cxk1.lanzouq.com/iZtvn2efgzng
访问密码772j，解压密码infected

Virustotal：
crossfireBase.dll（没记录，没数字签名） VirusTotal - File - 0f9a9eba6ef76a70936902abfa3653a41946647b6feeec56d22a718c560fc169
HRConTPL.exe（5天前上传，有腾讯数字签名） VirusTotal - File - d8ec49c437dad3e4a25dff265d96b063d35cb789e60d008173ff04876b734dbc

压缩包里的那个叫“安装项目1”的文件夹是那个安装程序释放的文件（里面甚至还有火绒的文件，我给删了）

显示全部楼层 · 发表于 2024-11-6 20:02:27

本帖最后由 AEht 于 2024-11-6 20:12 编辑

卡巴解压杀1

扫描双击0x（安装程序杀，释放物不杀）更新：释放物成功联网、关UAC

opentip安装程序释放文件检出

目测白加黑

显示全部楼层 · 发表于 2024-11-6 20:02:45

有火绒的也发一下，很可能有什么白加黑

显示全部楼层 · 发表于 2024-11-6 20:05:16

tdsskiller 发表于 2024-11-6 20:02
有火绒的也发一下，很可能有什么白加黑

显示全部楼层 · 发表于 2024-11-6 20:05:46

ESET

显示全部楼层 · 发表于 2024-11-6 20:09:00

火绒
扫描：2x

病毒库时间：2024-11-06 18:28
开始时间：2024-11-06 20:07
总计用时：00:00:01
扫描对象：32
扫描文件：8
发现风险：2
已处理风险：0
病毒详情：
风险路径：C:\Users\UnknownOoo\Downloads\安装项目1\安装项目1\crossfireBase.dll, 病毒名：Trojan/HiJack.kk, 病毒ID：151745e776a9f89d, 处理结果：暂不处理
风险路径：C:\Users\UnknownOoo\Downloads\安装项目1\T21setupInstall.exe, 病毒名：TrojanDropper/Agent.vl, 病毒ID：7d37d4f7e5fa49b8, 处理结果：暂不处理

复制代码

显示全部楼层 · 发表于 2024-11-6 20:10:22

双击卡巴机器学习杀一个，还有个双击后挂入钩子，联网38.55.244.23:30360TCP，再关闭UAC，（被卡巴提示修复，）然后载图

显示全部楼层 · 发表于 2024-11-6 20:33:00

金山毒霸

显示全部楼层 · 发表于 2024-11-6 20:43:57

DI Kill

显示全部楼层 · 发表于 2024-11-6 20:51:01

rising kill

[可疑文件] 疑似远控？（PYAS官方群里的）