#LummaStealer 3X

UNknownOoo

https://wwjw.lanzouq.com/is5wy2xqzvwf

aikafans

fsp

mal3.exe
R/AVI.Agent.uumuv

wywt123

eset 2x

mal3.exe
NSIS/Runner.QF 特洛伊木马

mal2.exe
Suspicious Object

aboringman

360：0

mal1：完全没有反应

mal2：仅拦截创建开机启动项

1. 2025-06-01 14:52:38        [已阻止]          修改 开机启动项        防护 1 次
   
2. 详细描述：
   
3. 注册表位置：HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\[MicrosoftEdgeAutoLaunch_12EBB0096139498C2D6455AB9E9189FF]
   
4. 注册表内容："C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start
   
5. 进程：C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
   
6. 父进程：C:\Users\123aaa\Desktop\Mal-3X\mal2.exe , (103)
   
7. 风险文件：C:\Users\123aaa\Desktop\Mal-3X\mal2.exe
   
8. 防护信息: RD|1, 2|10, 10, 10|33936FA7BE504506C09BC54EE12AEFF2|33251aeaac031285275a5c226fa12e18b7eed3f0|

复制代码

mal3：

1. 2025-06-01 14:54:44        [已阻止]          进程创建        防护 1 次
   
2. 详细描述：
   
3. 进程：C:\Windows\SysWOW64\cmd.exe
   
4. 动作：进程创建
   
5. 路径：C:\Windows\SysWOW64\extrac32.exe
   
6. 风险文件：C:\Windows\SysWOW64\extrac32.exe
   
7. 拦截补充描述：为了您的上网安全，如果您不认识此程序，请阻止此操作。
   
8. 
   
9. 防护信息: AD|1, 4|10, -1, 60||

复制代码

ESET：

mal1触发网页防护

1. 2025/6/1 15:11:53  HTTP 过滤器  文件  http://ns.thumbsemifinal.top/caUvXyK.ps1  GenScript.RLF 特洛伊木马  连接已终止  尝试通过应用程序访问 Web 时发生事件: C:\Users\123aaa\AppData\Roaming\41557\asdhcp.com (4858406A48B3D660DEE0472C1D7837373C047D44).  CEABE76F76008E56738D36C9869AC39672472181
   
2. 
   
3. 2025/6/1 15:11:53;http://h4.sublimeravage.shop/sh.ext.bin  阻止的 URL  内部黑名单  C:\Users\123aaa\AppData\Roaming\41557\asdhcp.com  172.67.202.142  4858406A48B3D660DEE0472C1D7837373C047D44

复制代码

莒县小哥

inhh1

BD：mal1&mal3 ATD Killed

mal2：Miss
SESC（16）：
mal3落地杀
mal1&2 禁止联网

SESC的墙和IPS还是可以顶一下的

啊松

剩下一个卡巴没有反应

aboringman

inhh1 发表于 2025-6-1 15:21
BD：mal1&mal3 ATD Killed

mal2：Miss

mal1跟mal2有没有具体报法的，可以看下吗（

inhh1

aboringman 发表于 2025-6-1 15:32
mal1跟mal2有没有具体报法的，可以看下吗（

2025/6/1 15:25:47,信息,检测到威胁 Scr.NSISPacker!g2。文件 C:\Users\uuu\Desktop\Mal-3X (2)\mal3.exe 已隔离。,1
2025/6/1 15:26:22,信息,"[SID: 29565] Web Attack: Webpulse Bad Reputation Domain Request 攻击已阻止。 已阻止此应用程序的通信: C:\Users\uuu\AppData\Roaming\41557\asdhcp.com。
URL: http://h4.sublimeravage.shop/sh.ext.bin
强防护等级: 级别 1
URL 类别: 恶意来源/恶意网络",1          //这个是mal1
2025/6/1 15:26:33,主要,客户端将在接下来的 600 秒 (从 06/01/25 15:26:32 到 06/01/25 15:36:32) 禁止来自 IP 地址 172.67.161.216 的通信。,1
2025/6/1 15:26:38,主要,客户端将在接下来的 600 秒 (从 06/01/25 15:26:36 到 06/01/25 15:36:36) 禁止来自 IP 地址 195.82.147.188 的通信。,1
2025/6/1 15:26:44,信息,"[SID: 29565] Web Attack: Webpulse Bad Reputation Domain Request 攻击已阻止。 已阻止此应用程序的通信: C:\Users\uuu\Desktop\Mal-3X (2)\mal2.exe。
URL: https://arvyjf.live
强防护等级: 级别 5
URL 类别: 可疑, 占位符",1
2025/6/1 15:26:46,信息,"[SID: 29565] Web Attack: Webpulse Bad Reputation Domain Request 攻击已阻止。 已阻止此应用程序的通信: C:\Users\uuu\Desktop\Mal-3X (2)\mal2.exe。
URL: https://localixbiw.top
强防护等级: 级别 1
URL 类别: 恶意来源/恶意网络",1

ANY.LNK

微软补充，Setup.exe双击拦截进程