收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 #LummaStealer 1x
12下一页
返回列表 发新帖
查看: 929|回复: 14
收起左侧

[病毒样本] #LummaStealer 1x

[复制链接]
UNknownOoo
发表于 2024-11-12 11:42:09 | 显示全部楼层 |阅读模式
mal1 -> QtNetwork4.dll VT二扫:1/72



https://wwjw.lanzouq.com/iXNoF2ev66ch

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2经验 +30 人气 +3 收起 理由
QVM360 + 30 版区有你更精彩: )
莒县小哥 + 3 版区有你更精彩: )

查看全部评分

回复

举报

Loyisa
发表于 2024-11-12 11:58:17 | 显示全部楼层
SEP扫描miss
HMPA 双击kill


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

dght432
头像被屏蔽
发表于 2024-11-12 11:58:29 | 显示全部楼层
本帖最后由 dght432 于 2024-11-12 12:09 编辑

冰盾4.6.0拦截重复加载ntdll



冰盾4.6.3



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

DisaPDB
发表于 2024-11-12 12:01:35 | 显示全部楼层
  1. 时间        操作        说明        次数
  2. 2024-11-12 12:00:46        [已阻止]          远程线程注入        防护 1 次
  3. 详细描述:
  4. 进程:C:\Windows\SysWOW64\more.com
  5. 动作:远程线程注入
  6. 路径:C:\Windows\Microsoft.NET\Framework\v4.0.30319\vbc.exe
  7. 风险文件:C:\Users\Administrator\Desktop\mal1\QtNetwork4.dll
  8. 拦截补充描述:程序正在进行远程线程注入,将代码藏匿到其他进程来运行,木马通常以此来隐藏自己的恶意行为。如果您不认识此程序,请阻止。

  10. 防护信息: AD|2, 88|10, 30, -1||
  11. 2024-11-12 11:59:59        [已允许]          远程线程注入        防护 1 次
  12. 详细描述:
  13. 进程:C:\Users\Administrator\Desktop\mal1\Setup.exe
  14. 动作:远程线程注入
  15. 路径:C:\Windows\SysWOW64\more.com
  16. 风险文件:C:\Users\Administrator\Desktop\mal1\QtNetwork4.dll
  17. 拦截补充描述:程序正在进行远程线程注入,将代码藏匿到其他进程来运行,木马通常以此来隐藏自己的恶意行为。如果您不认识此程序,请阻止。

  19. 防护信息: AD|2, 88|10, 30, -1||
  20. 2024-11-12 11:58:18        [启动]          卫士启动       
  21. 您的电脑已处于360安全卫士的保护中。
复制代码
回复

举报

DisaPDB
发表于 2024-11-12 12:02:35 | 显示全部楼层
dght432 发表于 2024-11-12 11:58
冰盾4.6.0拦截重复加载ntdll

Reload NTDLL是用来拆钩子的,如果拆了之后依然能识别进程镂空就说明不需要再拦截这个动作

评分

参与人数 1人气 +3 收起 理由
dght432 + 3 感谢解答: )

查看全部评分

回复

举报

tyuttikfgkhj
头像被屏蔽
发表于 2024-11-12 12:14:49 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
回复

举报

MrDeep
发表于 2024-11-12 13:00:03 | 显示全部楼层
本帖最后由 MrDeep 于 2024-11-12 13:06 编辑

ESET虚拟机运行,约一分钟后
  1. Advanced memory scanner
  2. C:\Users\nothing\AppData\Local\Temp\wfic
  3. a variant of Win32/Spy.LummaStealer.I trojan
  4. DED87B5D2B2886CD57060EB9D621C47E8F1E8E4E
复制代码


再过一分钟后
  1. Real-time file system protection
  2. C:\Users\nothing\Desktop\mal1\RegisterIdr.dll
  3. Win32/ShellcodeRunner.PR trojan
  4. Event occurred during an attempt to access the file by the application:
  5. C:\Program Files (x86)\Huorong\Sysdiag\bin\BugReport.exe (DE64F288670E1C5D9ACA4ECB539372E452023AA6)
  6. 9271718D59A8B66DAE76A3C8D4E482833639AB3F
复制代码


火绒
  1. 病毒名称:ADV:Trojan/GenInjector.S!1.1
  2. 病毒路径:C:\Users\nothing\Desktop\mal1\Setup.exe
  3. 操作结果:已处理

  5. 进程ID:5548
  6. 操作进程命令行:"C:\Users\nothing\Desktop\mal1\Setup.exe"
  7. 父进程ID:5572
  8. 父进程:C:\Windows\explorer.exe
  9. 父进程命令行:C:\Windows\Explorer.EXE
复制代码
回复

举报

kaba666
发表于 2024-11-12 13:16:04 | 显示全部楼层
双击注入vbc.exe,利用VBC.EXE链接远程地址,但是这些地址不无法连接,程序自动退出
回复

举报

玛姆库特
发表于 2024-11-12 13:32:19 | 显示全部楼层
果然

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

心醉咖啡
发表于 2024-11-12 19:36:35 | 显示全部楼层
金山毒霸扫描miss
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-30 20:30 , Processed in 0.129897 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表