收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 renpy loader vt:3/64 可以拿来试试主防
12下一页
返回列表 发新帖
查看: 1387|回复: 19
收起左侧

[病毒样本] renpy loader vt:3/64 可以拿来试试主防

[复制链接]
ulyanov2233
发表于 昨天 09:35 | 显示全部楼层 |阅读模式
本帖最后由 ulyanov2233 于 2025-7-9 09:45 编辑

我记得这种病毒我发过一次了,这是最近的一个变种,vt上看静态扫描效果依旧不好。有虚拟机的可以试试主防,不过这病毒是检测虚拟机的,而且上次检测十分刁钻,引用一下上次大佬的分析
个游戏不可能进行如此高强度的虚拟机检测

系统规格检查:分析硬盘大小、内存大小、CPU 核心数、设备型号和制造商,网络情况(WiFi都考虑上了)等硬件指标
文件系统检查:查找 VM 相关的注册表项、文件和进程
加权评分机制:对各项检查结果进行加权计算,得出最终的风险评分

------------------------------------------------------------------------------------------------------------------------------------------------------
​进程启动​:
​创建子进程(lnstaIer.exe)​:
​执行命令收集系统信息:
​lnstaIer.exe 通过 cmd.exe 和 PowerShell 执行多个命令。

​简单命令验证​:执行 ver 命令,确认系统版本。
​收集磁盘信息​:通过 PowerShell 获取 C 盘使用情况(Get-PSDrive C | Select-Object Used,Free),探测存储空间。
​收集硬件信息​:多次执行 PowerShell 命令收集系统规格:
总物理内存(Get-CimInstance Win32_ComputerSystem | Select-Object TotalPhysicalMemory)。
逻辑处理器数量(Get-CimInstance Win32_Processor | Select-Object NumberOfLogicalProcessors)。
计算机型号和制造商(Select-Object Model 和 Select-Object Manufacturer)。
​使用 WMI(如 Win32_LogicalDisk 和 Win32_Processor)查询系统信息,疑似逃避分析或指纹识别。

虚拟机特征被发现的话应该跑不起来
https://www.virustotal.com/gui/f ... c92f7344b?nocache=1
【bd2cbc36c992cb8df66a4097f46707008ac9a1e6474039c8a3445eac92f7344b】
链接:https://qfile.qq.com/q/6qckdMX4XK 密码:infected

评分

参与人数 1经验 +20 魅力 +1 人气 +3 收起 理由
QVM360 + 20 + 1 + 3 版区有你更精彩: )

查看全部评分

回复

举报

xiaozhu009
发表于 昨天 09:39 | 显示全部楼层
本帖最后由 xiaozhu009 于 2025-7-9 10:54 编辑

Analysis [url]https://qfile.qq.com/q/6qckdMX4XK Malicious activity - Interactive analysis ANY.RUN[/url]
回复

举报

tony099
发表于 昨天 09:48 | 显示全部楼层
本帖最后由 tony099 于 2025-7-9 09:57 编辑

卡巴op  提示恶意软件
Kaspersky Threat Intelligence Portal — Report — 40BDF086A634A56738CFA1ECAAE8914DD87EBE198FD4D92E...

检测名称:Trojan.Python.Agent.nb
回复

举报

ulyanov2233
 楼主| 发表于 昨天 09:55 | 显示全部楼层
这是上次renpyloader的vt链接https://www.virustotal.com/gui/f ... 183e2c19a/detection
回复

举报

jxfaiu
发表于 昨天 09:57 | 显示全部楼层
本帖最后由 jxfaiu 于 2025-7-9 09:59 编辑



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

ulyanov2233
 楼主| 发表于 昨天 10:03 | 显示全部楼层
本帖最后由 ulyanov2233 于 2025-7-9 10:05 编辑

上次类似的病毒火绒金山和卡巴都是上报之后拉黑的,结果今天看这个相似变种好像只有卡巴还能扫出来,跟上次一个报毒名

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

UNknownOoo
发表于 昨天 10:39 | 显示全部楼层
火绒
运行:内存防护捉
  1. 病毒名称:Trojan/ShellLoader.tn
  2. 病毒ID:6D0396C55D41EA0A
  3. 虚拟地址:0x00000000031D0000
  4. 映像大小:4.0MB
  5. 是否完整映像:是
  6. 数据流哈希:e5e15baf
  7. 操作结果:处理成功,进程已结束
  8. 进程ID:4948
  9. 操作进程:C:\Users\User\AppData\Local\CachePi128.exe
  10. 操作进程命令行:C:\Users\User\AppData\Local\CachePi128.exe
  11. 父进程ID:5980
  12. 父进程:C:\Users\User\Desktop\bd2cbc36c992cb8df66a4097f46707008ac9a1e6474039c8a3445eac92f7344b\data\.temp\rq0oy72s.exe
  13. 父进程命令行:C:\Users\User\Desktop\bd2cbc36c992cb8df66a4097f46707008ac9a1e6474039c8a3445eac92f7344b\data\.temp\rq0oy72s.exe
复制代码
回复

举报

心痛的伤不起
发表于 昨天 10:40 | 显示全部楼层
x-sec

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

lsop1349987
发表于 昨天 10:54 | 显示全部楼层
emsi双击miss
hmpa双击kill江民双击kill

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

GDHJDSYDH
发表于 昨天 11:22 | 显示全部楼层
EIS扫描miss,沙盒内运行冰盾拦截数次(创建TestPolicy文件好几次),放行后最终报错

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-7-10 18:19 , Processed in 0.121403 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表