银狐1x

xiaozhu009

https://wwzq.lanzouq.com/iZvU230nyvah



VirusTotal - File - dae8cba137407b030406cdb4f0d40879a40ffb47efc911a6feff9e7b287f6de5

莒县小哥

MD扫描不杀

1073328164

迈克菲扫描 miss

UNknownOoo

火绒
扫描

1. 病毒详情：
   
2. 风险路径：C:\Users\UnknownOoo\Downloads\aii.968341004.exe, 病毒名：HVM:Trojan/Injector.dn, 病毒ID：f8e1d1ed7850a458, 处理结果：暂不处理
   

复制代码

a877513204

压缩密码是多少哇...

莒县小哥

a877513204 发表于 2025-7-9 16:16
压缩密码是多少哇...

infected

ulyanov2233

卡巴ksn如图，essp miss，奇安信天穹总结

该样本aii.968341004.exe表现出复杂且高度危险的行为，具体总结如下：

文件证书和签名问题
非法签名：样本的文件证书存在非法情况，哈希不匹配，表明该样本可能已被篡改。
证书信息：样本的证书信息显示其签名无效，具体证书信息如下：
DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1：有效从2021-04-29到2036-04-28。
Oracle America：有效从2025-01-10到2028-01-11。
DigiCert Timestamp 2024：有效从2024-09-26到2035-11-25。
DigiCert Trusted G4 RSA4096 SHA256 TimeStamping CA：有效从2022-03-23到2037-03-22。
DigiCert Trusted Root G4：有效从2022-08-01到2031-11-09。
Yara规则匹配
Cobalt Strike BeaconLoader：样本匹配Cobalt Strike的BeaconLoader特洛伊木马，版本为4.3至4.6，属于高危威胁。
内嵌数据库：样本内嵌了SQLite数据库，增加了其复杂性和隐蔽性。
其他Yara规则：样本还匹配了其他一些无风险的Yara规则，如Crypto SHA3_constants、R1_Component_Possible_Signed_64_R1Beta等。
网络行为
异常通信流量：样本频繁与阿里云存储服务进行通信，尝试获取和执行恶意代码。
通信目标：7ygou8.oss-cn-shenzhen.aliyuncs.com 和 nm25.oss-cn-hangzhou.aliyuncs.com。
通信协议：主要使用DNS查询和HTTP/HTTPS协议。
异常流量：样本发送了畸形流量，包括HTTP和TLS协议的异常会话。
进程行为
创建恶意进程：样本通过创建多个进程来执行恶意操作，包括cmd.exe、ar4b7v.exe等。
修改系统设置：样本通过命令行操作修改Windows Defender的排除路径，以规避安全软件的检测。
创建恶意任务：样本利用系统服务和任务计划程序创建多个恶意任务，这些任务会定期执行恶意代码，进一步扩展其控制范围。
恶意任务示例：
cmd.exe /c reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /v "C:\Users\lichao\Documents" /t REG_DWORD /d 0 /f
schtasks /Create /F /TN "Task1" /SC ONCE /ST 00:00 /RL HIGHEST /RU "SYSTEM" /TR "cmd.exe /c reg add \"HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\" /v \"C:\Users\lichao\Documents\" /t REG_DWORD /d 0 /f"

lsop1349987

hmpa双击kill

scottxzt

发重

biue

腾讯电脑管家 1X