收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 可疑Autoit3脚本
12下一页
返回列表 发新帖
查看: 2253|回复: 19
收起左侧

[病毒样本] 可疑Autoit3脚本

[复制链接]
wwwab
发表于 3 天前 | 显示全部楼层 |阅读模式

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

啊松
发表于 3 天前 | 显示全部楼层
本帖最后由 啊松 于 2025-6-10 10:23 编辑

双击会报错


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

骨灰级小白
发表于 3 天前 | 显示全部楼层
双击报错
回复

举报

1073328164
发表于 3 天前 | 显示全部楼层
迈克菲扫描 miss
回复

举报

莒县小哥
发表于 3 天前 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

jxfaiu
发表于 3 天前 | 显示全部楼层
1,xxTorrentCoverbooks37:https://www.virustotal.com/gui/f ... 35da09b4d0e733f9f45
2,xxTorrentCoverbooks37.bat
https://www.virustotal.com/gui/f ... 2a34576f5255fba2c98
3,xxxTorrentCoverbooks37
https://www.virustotal.com/gui/f ... 9d995b29f51ed287d4e

回复

举报

GDHJDSYDH
发表于 3 天前 | 显示全部楼层
EIS扫描双击均miss
回复

举报

ulyanov2233
发表于 3 天前 | 显示全部楼层
本帖最后由 ulyanov2233 于 2025-6-10 11:06 编辑

essp扫描miss 微步云miss:样本报告-微步在线云沙箱安恒云kill:[size=17.2654px]通过安恒云沙箱分析,该样本研判结果为[size=17.2654px]高危[size=17.2654px]。
[size=15.927px][size=17.2654px]样本文件名为“Trojan.zip”,md5为efddf002b5cd81aa6f3270b8afd955f5,是zip类型的文件。

该样本被静态检测、行为风险引擎检测出。

样本被检测为AGEN木马






[size=15.927px][size=17.2654px]该样本存在多种行为风险,包括:* 异常执行( 非脚本文件启动了脚本解释器 )
* 隐蔽执行( 隐藏方式执行cmd )
* 敏感操作( 打开已有进程 )
* 系统信息获取( 获取屏幕分辨率、获取系统信息 )
* 其他行为( 安装消息钩子 )
* 反调试( 检测调试器 )
* 文件操作( 在较常见的系统目录中创建文件、使用DeviceIoControl来控制设备、设置文件属性 )




奇安信砂箱:
  • MD5:efddf002b5cd81aa6f3270b8afd955f5
  • 大小:554559 字节
  • 类型:Compressed Archive File in zip Format

文件信誉

  • 文件信誉结果显示,该文件的恶意性未知。

行为分析

  • 该文件表现出多种行为:

  • 敏感行为:


    • 修改非子进程的内存,可能是进程注入。

  • 一般行为:


    • 连接一个未经域名解析过的主机。
    • 分配可读、可写、可执行内存空间(通常为了解压自身)。
    • 查询计算机名称。

进程信息

  • 该文件在沙箱环境中执行,启动了“xxTorrentCoverbooks37.exe”进程,表现出多种行为,包括进程注入和内存分配等。

威胁情报

  • 该文件关联的IOC研判意见为未知。

防病毒扫描

  • qowl引擎未检出该文件为恶意软件。

结论综述

  • 该文件表现出进程注入等敏感行为,但未表现出明显的危险行为。根据文件信誉、行为分析、威胁情报和防病毒扫描结果,沙箱综合判定该文件为未发现风险。

回复

举报

lsop1349987
发表于 3 天前 | 显示全部楼层
本帖最后由 lsop1349987 于 2025-6-10 11:31 编辑

emsisoft双击复制文件失败,手动将文件复制到指定目录下并改名,双击后疯狂报毒
  1. 2025/5/21 12:52:27
  2. 恶意软件 "Heur.BZC.PZQ.Boxter.797.9057381E (B)" 来自于 "C:\Users\user000\AppData\Local\Temp1dfz5jpuun.ps1" 已隔离。
复制代码
经上述处理后avast双击kill,Avira双击miss,ps1成功运行

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

tony099
发表于 3 天前 | 显示全部楼层
本帖最后由 tony099 于 2025-6-10 16:52 编辑

火绒Miss
把bat批处理扔到卡巴的opentip 目前鉴定是干净的
Kaspersky Threat Intelligence Portal — Report — F594BB10C6653D5F928DAA08FDDC3831546C314F0EFFD2A3...

下午16:49更新

此次防护系统未能正确检测,造成您系统操作上的不便与潜在风险,我们深感抱歉。

对于任何一位客户而言,安全即是信任的核心,我们非常遗憾此次事件对您长期建立的信赖造成影响。我们明白,您的时间与资源极为宝贵,我们会以最严肃的态度面对本次事件。

我们已完成检测。后台得出的结果如下:
xxTorrentCoverbooks37.bat - 该文件已经可以被卡巴斯基检测到,请您更新卡巴斯基病毒数据库
xxxTorrentCoverbooks37 - 该文件中没有检测恶意软件
xxTorrentCoverbooks37 - 该文件中检测到新的恶意软件,将会在卡巴斯基病毒数据库中更新对该文件的检测

一旦后台分析师更新了数据库,就不需要进一步的操作,这通常需要24-48小时。


回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-13 09:47 , Processed in 0.132812 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表