通过BootExecuteNoPnpSync环境变量开机启动的白加黑1x

显示全部楼层 · 发表于前天 14:55

本帖最后由落华无痕于 2025-5-13 15:01 编辑

样本（infected）：https://free.lanzoue.com/iZfmR2w4crjc

显示全部楼层 · 发表于前天 15:07

本帖最后由 superLYT 于 2025-5-13 15:08 编辑

EIS右键miss，双击后内存报毒

显示全部楼层 · 发表于前天 15:35

显示全部楼层 · 发表于前天 15:44

谷歌浏览器貌似拉黑了拦截了下载

显示全部楼层 · 发表于前天 15:51

虚拟机运行BEB.exe，avira free云拦截

显示全部楼层 · 发表于前天 15:58

卡巴双击miss，一段时间后，后台扫描内存杀

显示全部楼层 · 发表于前天 16:09

本帖最后由略略略12138 于 2025-5-14 08:33 编辑

安天扫描一个，双击其它miss

FS扫描，双击其它miss

显示全部楼层 · 发表于前天 16:45

阻止运行

显示全部楼层 · 发表于前天 16:45

火绒 VSHive.dll miss

显示全部楼层 · 发表于前天 17:21

本帖最后由图钉鱼于 2025-5-13 19:40 编辑

病毒主体：sdgfrhgdbh.pdb
1.j和2.j是一个EXE文件拆分出来的经加密的，躲避云扫描的
微步 Kill 银狐MalGeneric
安天 0X
360 1X
卡巴 0X
nod32 0X
百锐 0X

该样本疑似使用DLL侧加载，攻击者可能利用可信签名程序在加载动态链接库时未进行合法性签名校验，将合法库替换为恶意库，从而导致可信程序运行时加载恶意库。可信签名程序: 20250513.exe - 被利用DLL: VSHive.dll - 供应商: Microsoft Corporation - 易被利用的可执行文件名: Unknown - 易被利用的可执行文件路径: Unknown

[病毒样本] 通过BootExecuteNoPnpSync环境变量开机启动的白加黑1x

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源