renpy loader vt：0/65

显示全部楼层 · 发表于前天 23:11

从MalwareBazaar Database 搬过来的：https://wormhole.app/X6x8Ob#jVBinTSouotVGmkWJqYUpA 密码：infected
微步云沙箱报未知：https://s.threatbook.com/report/ ... ad912c50b4183e2c19a
奇安信三分：https://sandbox.ti.qianxin.com/s ... ZeYICW_SZq0HOVfrxsq
vt0/65：https://www.virustotal.com/gui/f ... 183e2c19a?nocache=1
卡巴opclean：https://opentip.kaspersky.com/4D ... /results?tab=upload
安恒云可疑低危：https://sandbox.dbappsecurity.co ... 2-bb27-14f710146727
MalwareBazaar Database 上的一些沙箱报告可疑：

显示全部楼层 · 发表于前天 23:22

360下载保护输入密码后扫描miss

显示全部楼层 · 发表于前天 23:33

腾讯电脑管家不报

显示全部楼层 · 发表于前天 23:49

本帖最后由图钉鱼于 2025-6-23 01:32 编辑

恶意

显示全部楼层 · 发表于前天 23:57

图钉鱼发表于 2025-6-22 23:49
恶意！！！

还真是恶意软件啊，我这一路沙箱跑下来都不敢相信这是个病毒了

显示全部楼层 · 发表于昨天 00:04

ulyanov2233 发表于 2025-6-22 23:57
还真是恶意软件啊，我这一路沙箱跑下来都不敢相信这是个病毒了

这是游戏？破解的？

显示全部楼层 · 发表于昨天 00:10

本帖最后由 ulyanov2233 于 2025-6-23 00:16 编辑

图钉鱼发表于 2025-6-23 00:04
这是游戏？破解的？

我估摸着要是病毒得是白加黑的，白的主体我研究了一下是个免费的视觉小说引擎肯定不是外过滤挂，连引擎默认图标都没改，不太像是游戏的破解版，黑的我不知道，没那个水平，也没设置虚拟机测主防

显示全部楼层 · 发表于昨天 00:22

本帖最后由 UNknownOoo 于 2025-6-23 00:33 编辑

#LummaStealer

data\.temp\3uxurLTK.exe （Qt5Core.dll 可能为黑DLL）注入
C:\Users\>\AppData\Local\Temp\SynapsForge86.exe
C:\Users\>\AppData\Roaming\KFmanage\XPFix.exe

SynapsForge86.exe 注入系统进程 OpenWith.exe

OpenWith.exe 注入系统进程 OOBE-Maintenance.exe 并执行最终载荷

行为标记：

操作类型：【创建】
操作文件：C:\Users\User\AppData\Local\Temp\chrAB8A.tmp\First Run
操作结果：已允许
进程ID：6896
操作进程：C:\Windows\System32\OOBE-Maintenance.exe
操作进程命令行："C:\Windows\system32\OOBE-Maintenance.exe"

复制代码

显示全部楼层 · 发表于昨天 00:23

本帖最后由图钉鱼于 2025-6-23 01:23 编辑

ulyanov2233 发表于 2025-6-23 00:10
我估摸着要是病毒得是白加黑的，白的主体我研究了一下是个免费的视觉小说引擎，连引擎默认图标都没改，不 ...

白+黑

一个游戏不可能进行如此高强度的虚拟机检测

系统规格检查：分析硬盘大小、内存大小、CPU 核心数、设备型号和制造商，网络情况（WiFi都考虑上了）等硬件指标
文件系统检查：查找 VM 相关的注册表项、文件和进程
加权评分机制：对各项检查结果进行加权计算，得出最终的风险评分

------------------------------------------------------------------------------------------------------------------------------------------------------
进程启动：
创建子进程（lnstaIer.exe）:
执行命令收集系统信息:
lnstaIer.exe 通过 cmd.exe 和 PowerShell 执行多个命令。

简单命令验证：执行 ver 命令，确认系统版本。
收集磁盘信息：通过 PowerShell 获取 C 盘使用情况（Get-PSDrive C | Select-Object Used,Free），探测存储空间。
收集硬件信息：多次执行 PowerShell 命令收集系统规格：
总物理内存（Get-CimInstance Win32_ComputerSystem | Select-Object TotalPhysicalMemory）。
逻辑处理器数量（Get-CimInstance Win32_Processor | Select-Object NumberOfLogicalProcessors）。
计算机型号和制造商（Select-Object Model 和 Select-Object Manufacturer）。
使用 WMI（如 Win32_LogicalDisk 和 Win32_Processor）查询系统信息，疑似逃避分析或指纹识别。

创建其他进程链:

lnstaIer.exe 和后续进程创建多个子进程，形成进程树。

3uxurLTK.exe启动：lnstaIer.exe 创建 \data\.temp\3uxurLTK.exe。
SynapsForge86.exe启动：3uxurltk.exe 创建\Temp\SynapsForge86.exe。
XPFix.exe启动：3uxurltk.exe 创建 \KFmanage\XPFix.exe。
appidpolicyconverter.exe启动：主进程间接创建系统程序 C:\Windows\system32\appidpolicyconverter.exe。
openwith.exe启动：SynapsForge86.exe 创建 C:\Windows\SysWOW64\openwith.exe。
OOBE-Maintenance.exe启动：openwith.exe 创建 C:\Windows\system32\OOBE-Maintenance.exe（系统程序，用于设置向导）。
浏览器进程启动：OOBE-Maintenance.exe 创建浏览器进程访问本地 URL：
Chrome: 执行 chrome.exe 访问 hxxp://127.0.0.1:8000/013a1763/821a2bcf（带临时用户数据目录，疑似隐蔽C2通信）。
Edge: 执行 msedge.exe 访问 hxxp://127.0.0.1:8000/013a1763/c475ceb4。（带临时用户数据目录，疑似隐蔽C2通信）。

逃避检测和沙箱检查:
样本使用多种技术检测和逃避分析环境。

Sleep技术：执行 sleep(2s)、sleep(4s) 和 sleep(10s)延迟执行，避开沙箱超时检测。
系统函数探测：频繁调用 NtQuerySystemInformation、NtSetInformationFile 等函数，结合 int 3 断点，探测调试器或沙箱。
直接系统调用：绕过应用层钩子，直接调用系统函数（如 ZwCreateFile、ZwProtectVirtualMemory）。
诱饵系统调用：使用虚假调用（如 ZwQueryPerformanceCounter）掩盖真实恶意函数（如 ZwProtectVirtualMemory）。
CPU模式切换（Heaven's Gate）：在32位进程中嵌入64位代码，隐藏API调用执行敏感函数（如 ZwCreateSection/ZwMapViewOfSection/ZwClose/ZwReadVirtualMemory/ZwWriteFile/ZwRollbackTransaction/ZwDuplicateObject等等），绕过安全软件hook检查。

文件和注册表操作:
文件写入和修改:
遍历目录（如 C:\program\xxx\...）
写入可疑文件（如带可疑后缀 .rpymc），并修改文件时间（C:\Users\...\._bubble.png）
写入大量文件，游戏文件

注册表操作:
打开注册表 HKEY_LOCAL_MACHINE
修改IE安全设置（降低安全防护）
删除注册表键（如 Chrome/Edge 的扩展设置），清除痕迹。

跨进程注入和代码执行:

跨进程内存写入：修改 3uxurltk.exe、synapsforge86.exe 等进程内存，疑似注入 shellcode。
设置线程环境：干扰进程（如 OOBE-Maintenance.exe）线程上下文，劫持执行流。
代码注入：跨进程写入可执行内存，并利用回调函数（如 BaseThreadInitThunk）执行 shellcode。
加载可疑模块：签名进程（如 3uxurLTK.exe）加载无签名 DLL（Qt5Xml.dll、SSLEAY32.dll，LIBEAY32.dll，Qt5Network.dll，Qt5Widgets.dll，Qt5Gui.dll，Qt5Core.dll ），通过 DLL 侧加载执行恶意代码。
疑似提权：将父进程替换为 explorer.exe，提权运行。

网络活动:

查询多个域名（如 cloudflare-dns.com、time.apple.com、clients2.google.com），解析IP。
RPC调用监控DNS：尝试DNS解析。
连接到外部IP（ NTP 服务器 129.250.35.250:123）和Web服务（ 104.16.249.249:443）。
访问本地WEB服务：连接到 127.0.0.1:8000，通过启动浏览器访问本地URL，隐蔽C2或数据外传。

文件过多，不看了

显示全部楼层 · 发表于昨天 00:33

图钉鱼发表于 2025-6-23 00:23
白+黑，签名进程 3uxurLTK.exe 加载无签名 DLL（Qt5Xml.dll、SSLEAY32.dll），在加载Qt框架DLL时使用了侧 ...

我提交了卡巴和eset还有火绒了，看看谁拉黑快

[病毒样本] renpy loader vt：0/65

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

浏览过的版块