收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 假WPS
12下一页
返回列表 发新帖
查看: 599|回复: 11
收起左侧

[病毒样本] 假WPS

[复制链接]
Rukia
发表于 前天 19:58 | 显示全部楼层 |阅读模式
hxxps://sfdja[.]com/
hxxps://cd5s7b9.oss-ap-southeast-1[.]aliyuncs.com/WPS%20-Office[.]zip

WPS -Office.exe
https://wormhole.app/bLQ3am#-jEKvnDkFjdf5DgwptPZkQ
密码:infected

MD5      75364308A074B5BD483ABF783E835310
SHA1     6F756689354F9AEE4F8D803A53F97FD90B73B398
SHA256    3D78C97D6376CBD1DCAB4559E476AF94344890F190A4128C06E19C05055DC23D

https://www.virustotal.com/gui/f ... 28c06e19c05055dc23d





hxxps://ws-wps[.]com/
hxxps://ws-wps.com/js/WPS-Win64.zip

WPS-Win64.exe

MD5       383188F3E0B7AA4DEBB6B4C1C3922AD8
SHA1      B24DD633615FD292DE3B52E7FB3676B6EB3A97B6
SHA256    897C02E017246836B1E1E7085554FF27FE9092653FC72C31952BB5F61C8DBB18


https://wormhole.app/AYpN21#vp51KhBnulS22FRNIApwNA
密码:infected

https://www.virustotal.com/gui/f ... 61c8dbb18?nocache=1

评分

参与人数 1经验 +20 魅力 +1 人气 +3 收起 理由
QVM360 + 20 + 1 + 3 版区有你更精彩: )

查看全部评分

回复

举报

PhozeAMTB
发表于 前天 20:18 | 显示全部楼层
WD

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

xjwtzq
发表于 前天 20:29 | 显示全部楼层
安天  木马

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

awsl10000次
发表于 前天 20:36 | 显示全部楼层
本帖最后由 awsl10000次 于 2025-5-17 20:51 编辑

op目前两个全过
https://opentip.kaspersky.com/22 ... /results?tab=upload
https://opentip.kaspersky.com/2E ... /results?tab=upload
第二个链接还是像之前一样hash没变,没解压也没跑成功,不知道为什么
现在两个全红,非常离谱,第二个链接最开始明明都没解压...
回复

举报

wywt123
发表于 前天 21:22 | 显示全部楼层
awsl10000次 发表于 2025-5-17 20:36
op目前两个全过
https://opentip.kaspersky.com/22 ... /results?tab=upload
https://opentip.kaspersky. ...

https://opentip.kaspersky.com/3D ... /results?tab=lookup
https://opentip.kaspersky.com/89 ... /results?tab=lookup
回复

举报

awsl10000次
发表于 前天 21:28 | 显示全部楼层
wywt123 发表于 2025-5-17 21:22
https://opentip.kaspersky.com/3D78C97D6376CBD1DCAB4559E476AF94344890F190A4128C06E19C05055DC23D/res ...

我一开始的时候关注了这两个
上传压缩包并且动态跑完以后报clean的时期样本是灰色的,然后过了大概10min这两个样本变红随机压缩报的file栏也出现红色
3D78C97D6376CBD1DCAB4559E476AF94344890F190A4128C06E19C05055DC23D
最开始只有Trojan.Win64.Agent.sb的报法,现在加上了Trojan.Win32.Agent.sb和Trojan.Win64.Agent.smeidy
奇怪的是看时间线,特征好像出现在另一个沙盒报法之前
好像和那个pdm记录有关,可能是饭友双击以后自动上报了又加了一个新的沙箱特征?
回复

举报

UNknownOoo
发表于 前天 21:39 | 显示全部楼层
火绒
文件监控 ALL
  1. 病毒名称:HEUR:TrojanDropper/Agent.yn
  2. 病毒ID:712DD909F6690D2C
  3. 病毒路径:C:\Users\User\AppData\Local\Temp\BNZ.6828912e3f3d7\WPS -Office.exe
  4. 操作类型:修改
  5. 操作结果:暂不处理
复制代码
  1. 病毒名称:Trojan/FakeApp.fg
  2. 病毒ID:524E9FDB97EEB31D
  3. 病毒路径:C:\Users\User\AppData\Local\Temp\BNZ.682891704f578\WPS-Win64.exe
  4. 操作类型:修改
  5. 操作结果:暂不处理
复制代码
回复

举报

GDHJDSYDH
发表于 前天 23:34 | 显示全部楼层
EIS解压秒杀

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

123456aaaafsdeg
发表于 昨天 11:18 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

wywt123
发表于 昨天 14:43 | 显示全部楼层
awsl10000次 发表于 2025-5-17 21:28
我一开始的时候关注了这两个
上传压缩包并且动态跑完以后报clean的时期样本是灰色的,然后过了大概10min ...

Trojan.Win64.Agent.sb这个应该是沙箱自动分类的报法
Trojan.Win64.Agent.smeidy这个是正式入库的名字
.sb我猜是sandbox?
因为传op首次检出的玩意好像都显示.sb后缀,然后过一会就命名入库了
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-19 15:35 , Processed in 0.127467 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表