[病毒样本] 4x

显示全部楼层 · 发表于 2024-11-27 00:33:09

https://wwuc.lanzoub.com/i2Qg92gdsach
https://wormhole.app/RDRKX#zW4hiAWbotQ5sdcfO13l2A

360 扫描miss all.

显示全部楼层 · 发表于 2024-11-27 01:19:24

EIS扫描miss all，沙盒内运行miss all，运行后1x无反应，1x自退，HMPA拦截2x

显示全部楼层 · 发表于 2024-11-27 02:38:31

FSP
scan 3/4

显示全部楼层 · 发表于 2024-11-27 11:29:49

火绒
扫描：MISS ALL
运行：2x
service.exe -> 内存防护捉

病毒名称：Backdoor/CobaltStrike.kf
病毒ID：BF4CF368224B4366
虚拟地址：0x0000000063420000
映像大小：352KB
是否完整映像：否
数据流哈希：4cb451f0
操作结果：已处理
进程ID：4516
操作进程：C:\Users\Administrator\Desktop\4x (2)\service.exe

复制代码

uninstall9235.exe -> 内存防护捉

病毒名称：Backdoor/Lotok.gg
病毒ID：E42180C6289EACD4
虚拟地址：0x0000000003A10000
映像大小：340KB
是否完整映像：否
数据流哈希：a26adac6
操作结果：已处理
进程ID：1576
操作进程：C:\Users\Administrator\Desktop\uninstall9235.exe

复制代码

显示全部楼层 · 发表于 2024-11-27 11:33:43

bd

The file C:\Users\V\Downloads\4x(24-11-27)\uninstall9235.exe is infected with Gen:Variant.Giant.Jaik.373 and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.

The app C:\Users\V\Downloads\4x(24-11-27)\service.exe infected with Gen:Suspicious.Cloud.2.DyW@aWT67cli was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.

显示全部楼层 · 发表于 2024-11-27 11:44:33

GDHJDSYDH 发表于 2024-11-27 01:19
EIS扫描miss all，沙盒内运行miss all，运行后1x无反应，1x自退，HMPA拦截2x

uninstall9235.exe内存扫描可以杀，昨天有个样本你在沙盘运行无响应的虚拟机里运行也是内存扫描杀。
沙盘可能还是会限制行为，导致内存扫描识别不了。

显示全部楼层 · 发表于 2024-11-27 11:46:32

KES 1X 未双击

显示全部楼层 · 发表于 2024-11-27 12:59:48

WD遗漏1X

显示全部楼层 · 发表于 2024-11-27 14:46:21

本帖最后由玛姆库特于 2024-11-27 15:04 编辑

虚拟机，卡巴KES11.6，双击

29d0e723-e6d0-469e-888b-0d928da95654.exe 双击进入低限制组，没反应。

事件: 应用程序被放置在受限制组
组件: 主机入侵防御
对象名称: 低限制
原因: 无法定义信任组

复制代码

uninstall9235.exe 双击，UDS秒了

--------------------------------------------------------------------------------------------------------------------------
855e6bc3b4debc5ebf615aa822e4fcb50b80a9cd52099064957042e51a4958e0.exe 双击，进入低限制组，miss

----------------------------------------------------------------------------------------------------------------------------------
实机再测（卡巴免费+火绒+智量）：855e6bc3b4debc5ebf615aa822e4fcb50b80a9cd52099064957042e51a4958e0.exe
双击miss

显示全部楼层 · 发表于 2024-11-27 16:53:14

虚拟机avast解压kill2x，剩余双击运行均触发cc，结果安全，均miss（29d0e723疑似没跑起来）

[病毒样本] 4x

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源