语言包1.0

显示全部楼层 · 发表于 2024-12-13 17:08:49

本帖最后由 aboringman 于 2024-12-13 17:13 编辑

2024-12-13 17:05:32 感染型病毒(Win32/Backdoor.Rat.HgIATmQA)MD5:39c4e57ef587db338dc2c3109feae38b已删除此文件，如果您发现误删，可从隔离区恢复此文件。点击此处修改简体中文语言\点击此处修改简体中文语言.exe

复制代码

显示全部楼层 · 发表于 2024-12-13 17:17:57

本帖最后由 zhuzhu009 于 2024-12-13 17:21 编辑

TEST火绒miss
360杀毒
类型：
感染型病毒(Win32/Backdoor.Rat.HgIATmQA)

描述：
感染型病毒(Win32/Backdoor.Rat.HgIATmQA)

扫描引擎：
360云查杀引擎

文件路径：
C:\Users\33213\Downloads\lucifer\点击此处修改简体中文语言.exe

文件指纹(MD5)：
39c4e57ef587db338dc2c3109feae38b

VirusTotal - File - 53826d18593abf34e4927e20427db195c6f527c3a651273c7e338b8e6dce98af
Analysis 点击此处修改简体中文语言.exe (MD5: 39C4E57EF587DB338DC2C3109FEAE38B) Malicious activity - Interactive analysis ANY.RUN

显示全部楼层 · 发表于 2024-12-13 17:30:12

卡巴扫描miss

显示全部楼层 · 发表于 2024-12-13 17:37:09

本帖最后由 swizzer 于 2024-12-13 19:13 编辑

事件: 对象已删除
用户: SWIZZERのコンピ\swizzer
用户类型: 发起者
应用程序名称: 点击此处修改简体中文语言.exe
应用程序路径: D:\Malware\点击此处修改简体中文语言
组件: 文件反病毒
结果说明: 已删除
类型: 木马
名称: Trojan.Win32.Agentc.bp
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: view.png
对象路径: D:\Venv\Sandbox\DefaultBox\user\current\Dotaffeb015c-a9fe-4e1e-9e38-f8c509096855
对象的 MD5: B684C2B25130C1DAC99E919F93BC72A6

复制代码

2024/12/13 19:12:48;文件系统实时防护;文件;
D:\Cache\Sandbox\DefaultBox\user\current\Dotafbcba617-b5c6-47b3-9760-4570ee9771bd\libcef.dll;Generik.NSBHUJH 特洛伊木马的变量

复制代码

显示全部楼层 · 发表于 2024-12-13 18:15:56

火绒
扫描&运行均未检出

冰盾

可能被写入hh.exe进程的ShellCode：

显示全部楼层 · 发表于 2024-12-13 18:25:53

BD落地kill
IL:Trojan.MSILZilla.155904

显示全部楼层 · 发表于 2024-12-13 18:28:14

UNknownOoo 发表于 2024-12-13 18:15
火绒
扫描&运行均未检出

该再开个issue了

显示全部楼层 · 发表于 2024-12-13 19:12:58

Dr.web 扫描miss 双击防火墙拦截

显示全部楼层 · 发表于 2024-12-13 19:40:18

虚拟机SEP扫描miss双击miss

显示全部楼层 · 发表于 2024-12-13 21:00:48

冰盾默认拦截进程写入是具备写+执行权限的，但是这个先写再修改成执行，绕过了默认规则的检测。

[可疑文件] 语言包1.0