#Lucifer(?)

swizzer

ssa9527 发表于 2024-12-12 22:11
卡巴0，双击没有任何拦截。。这是误报？卡巴能漏那么多？

主楼贴了分析报告哦~不去看看吗

xiaoxin146

ssa9527 发表于 2024-12-12 22:11
卡巴0，双击没有任何拦截。。这是误报？卡巴能漏那么多？

应该不是误报 你看任务管理器 打开就有一个进程在跑

martin1230

Dr.web 扫描miss
双击53d60c9bff836ba832c39fecb2d57fffe594dfd0e9149b40f5c9e473bccbf34f和6802627917985227f3130826fce309686c6c870e01251e11deb8efcd7ed83dc3被防火墙拦截，其他miss

ssa9527

swizzer 发表于 2024-12-12 22:14
主楼贴了分析报告哦~不去看看吗

不好意思。。之前真没看到，我以为是分流下载链接。。之前看的多的是vt的。

Fadouse

Loyisa 发表于 2024-12-12 21:25
BD 扫描0x

6802627917985227f3130826fce309686c6c870e01251e11deb8efcd7ed83dc3.exe

其他的休眠时间特别久...
且均有虚拟机检查

Fadouse

S1 双击 Kill 1x，不过看报法应该其他过了休眠在加载dll时也会被杀

lsop1349987

虚拟机SEP扫描miss双击miss 48f3a疑似没跑起来

biue

腾讯电脑管家 5X

飞翔的蒲公英

安天智甲（版本较旧，但病毒库最新）：
· 静态查杀：隔离1x
· 双击剩余4个，均无反应。

云溪杀毒（"安天杀毒"新名，测试期暂未公开。现阶段云查不稳定，避免晚上使用）
结果同安天智甲

双击过程：
“5c6b8”双击后云溪杀毒阻止并隔离；
“3cdd4”和“6802”样本双击后，任务管理器中样本进程一直运行，等了10分钟，似乎没别的动作；
“48f3a”样本双击后，任务管理器中的进程出现一下就退了，没发现别的动作；
“53d6“样本双击后显示同步时间，此后任务管理器中的进程自动退了，没发现别的动作。
不知是没碰到触发条件还是虚拟机环境下不运行。

奇安信天守：
· 静态查杀5x，开卷考试满分。

将5个样本上传到安天在线分析平台（vt），时间是12月13日凌晨：
“5c6b”开头的样本安天确认是威胁；
“48f3”开头的样本安天显示“可疑”；
“3cdd”开头的样本显示存在“僵尸远控行为”，仅阿里、腾讯引擎报毒，其余的绝大部分国内外引擎均未报毒；
“6802”开头的样本显示存在“僵尸远控行为”，仅阿里、腾讯等少量厂商引擎报毒，大部分国内外引擎未报毒；
“53d6”开头的样本显示存在“僵尸远控行为”，仅阿里、腾讯等少量厂商引擎报毒，大部分国内外引擎未报毒；
如文章链接内容所述，vt大部分无法检出。

wywt123

swizzer 发表于 2024-12-12 22:14
主楼贴了分析报告哦~不去看看吗

c2域名都解析不出来了，跑不出行为了