6x

全身发抖

没啥新东西了，看来银狐team消停一点了
VirusTotal - File - 7c7156bffa25093c47c8d5515b9420f3b02a3d466ba9a564d440f0cc06969ab9 vt=24(首传)
VirusTotal - File - 1f6907229ef8b63bff8befeab77a0393d8b1a0385718b1c480cfaedfe42298d5 vt=16
VirusTotal - File - fc1679167e857a618cefdaf7e549da85e85df8b2edd7b6c860216095d50b04ce vt=8(首传)VirusTotal - File - c46829192a9207029b681810118411f833bd0d4406fab9eee494484e11608325vt=20(首传)
VirusTotal - File - 247620d8cb59b30bad54e24ba98208bcc72fb626acdfb174a1a70cde2eb38ec3 vt=12(首传)
VirusTotal - File - 815b978cc624dd54153675d860ab225a35911543c5b65db4e481a83aef8cb7c6vt=7（首传）
https://www.123865.com/s/nUw9-8jPN3

Loyisa

分流: https://pan.huang1111.cn/s/RYZE2FB
https://wormhole.app/z7vl6#H2GzN9Z0hYeJOObkdh71tA

BD 扫描2x


1f6907229ef8b63bff8befeab77a0393d8b1a0385718b1c480cfaedfe42298d5.exe
ATC kill


815b978cc624dd54153675d860ab225a35911543c5b65db4e481a83aef8cb7c6.exe
ATC


247620d8cb59b30bad54e24ba98208bcc72fb626acdfb174a1a70cde2eb38ec3.exe
kill衍生物


fc1679167e857a618cefdaf7e549da85e85df8b2edd7b6c860216095d50b04ce.exe
kill衍生物


已上报BD

aboringman

因为极速版跟beta版的查杀没区别，所以继续

以下是极速版2025的结果：

1f6907229ef8b63bff8befeab77a0393d8b1a0385718b1c480cfaedfe42298d5.exe：击杀1衍生物后未见异常



815b978cc624dd54153675d860ab225a35911543c5b65db4e481a83aef8cb7c6.exe：被断网，直到白程序运行全程无拦截，失败







c46829192a9207029b681810118411f833bd0d4406fab9eee494484e11608325.exe：直到白程序运行全程无拦截，失败



测了下最新的beta，结果同上

系统环境：Win10 1909 18363.592

核晶都是开启状态



更新，因为考虑到系统可能带来的影响，所以在Win11 23H2 22631.3880的镜像上对极速版2025进行复测，结果如下

815b978cc624dd54153675d860ab225a35911543c5b65db4e481a83aef8cb7c6.exe：

对断网行为进行了有效的拦截

1. 2024-12-10 22:17:09        [已阻止]          修改 服务支持程序        防护 1 次
   
2. 详细描述：
   
3. 注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\PEERDIST\SERVICE\[HTTPExtension]
   
4. 注册表内容：2
   
5. 进程：C:\Windows\System32\netsh.exe
   
6. 父进程：C:\Program Files\Kuai\Kuai\tdata\emoji\kll.exe , (103)
   
7. 风险文件：C:\Program Files\Kuai\Kuai\tdata\emoji\kll.exe
   
8. 防护信息: RD|76, 1354|40, 10, -1|676CA011C3D524DA367AD9BC38640ECA|95bff252792f4adccba254c66bd2e985cbca5918|

复制代码

阻止白程序启动



阻止正常安装包启动



Update：

2024.12.11早上的时候我重新测了一下上面这个样本，无论是核晶正常工作状态下，或者内核隔离正常启用核晶受限（或不工作）的情况下，有如下情况：

1.如果在断网那一步的告警弹窗出现的时候立即点阻止，断网拦不住，一条龙过掉。。。。。。

2.如果在断网那一步的告警弹窗的时候等一会，再阻止，就能正常拦截



c46829192a9207029b681810118411f833bd0d4406fab9eee494484e11608325：其中有一次自动拦截模拟按键，这里不公布出来

1. 2024-12-10 22:26:41        [已阻止]          修改 快捷方式        防护 1 次
   
2. 详细描述：
   
3. 进程：C:\Users\123aaa\AppData\Local\Temp\is-4JINB.tmp\c46829192a9207029b681810118411f833bd0d4406fab9eee494484e11608325.tmp
   
4. 动作：修改
   
5. 路径：C:\Users\Public\Desktop\Potato.lnk
   
6. 防护信息: FD|12, 516|50, 30, 10|E927E4ABB5A86A0C7C9D170CB3C94220|5396d56965c7ac897110ada8435a42ccc92272c0|

复制代码

1. 2024-12-10 22:26:49        [已阻止]          修改 URL协议关联        防护 1 次
   
2. 详细描述：
   
3. 注册表位置：HKEY_CURRENT_USER\Software\Classes\PT\[URL Protocol]
   
4. 注册表内容：
   
5. 进程：C:\Program Files (x86)\Potato\Potato_b5632ac\Potato.exe
   
6. 父进程：C:\Program Files (x86)\Potato\Potato_b5632ac\Potato.exe , (104)
   
7. 风险文件：C:\Users\123aaa\Desktop\Fakeapp-10 (2)\Fakeapp-10\c46829192a9207029b681810118411f833bd0d4406fab9eee494484e11608325.exe
   
8. 防护信息: RD|78, 610|50, 10, -1|||

复制代码

1. 2024-12-10 22:27:09        [已阻止]          发现恶意网络访问        防护 1 次
   
2. 详细描述：
   
3. Domain：cpck.pwin.me
   
4. 进程：C:\Program Files (x86)\Potato\Potato_b5632ac\Potato.exe
   
5. 
   
6. 2024-12-10 22:27:09        [已清除]          发现木马：Trojan.Generic        防护 1 次
   
7. 详细描述：
   
8. 木马名称：Trojan.Generic
   
9. 所在路径：C:\Users\123aaa\Desktop\Fakeapp-10 (2)\Fakeapp-10\c46829192a9207029b681810118411f833bd0d4406fab9eee494484e11608325.exe

复制代码

看起来现在的增强防护只在Win11上生效啊

anthonyqian

Norton V24 扫描清空了。。。

啊松

流量不足

kaba666

卡巴扫描杀2个，剩下4个双击，全部PDM杀

啊松

真的很烦用123云盘的啊，搞不懂123云盘有什么好用的

Loyisa

我来组成分流！
https://pan.huang1111.cn/s/RYZE2FB

Loyisa

啊松 发表于 2024-12-10 21:48
真的很烦用123云盘的啊，搞不懂123云盘有什么好用的

分流了 @kaba666

kaba666

Loyisa 发表于 2024-12-10 21:49
分流了 @kaba666

谢谢