银狐2x

xiaozhu009

https://wwzq.lanzouq.com/ir3r630sl5cf


https://wormhole.app/3DLYN9#9eyXjUJjKJ4LhGn26xb3iA
VirusTotal - File - 9accaee282fb2e2983c06b0d114f5fabf52f5fe19c495a17d5136309e4cb4792
VirusTotal - File - 65d0208410f9262cee9bc4bb745cdf738a4aa8d6de6aacca392e62a17041bc54

ulyanov2233

65d这个很邪门静态一个扫不出，我先占楼等下发沙箱结果微步云:样本报告-微步在线云沙箱奇安信：奇安信情报沙箱
opclean：Kaspersky Threat Intelligence Portal — Report — 65D0208410F9262CEE9BC4BB745CDF738A4AA8D6DE6AACCA...c2地址在阿里云上

根据异常通信流量的报告，该样本存在以下异常流量：

1. **DNS查询异常**：
   - DNS查询到阿里云CDN域名（aliyuncs.com），表明样本可能在尝试访问或解析与阿里云相关的资源。
   - DNS查询到xho7x7.oss-cn-shenzhen.aliyuncs.com，这可能是样本尝试访问阿里云存储服务的迹象。

2. **HTTP/HTTPS请求异常**：
   - HTTP GET请求到ocsp.globalsign.com，这可能是样本尝试验证证书的有效性。
   - HTTP GET请求到ocsp2.globalsign.com，同样可能是样本尝试验证证书的有效性。
   - HTTPS请求到xho7x7.oss-cn-shenzhen.aliyuncs.com，这表明样本可能在尝试下载或上传数据到阿里云存储服务。
   - HTTPS请求到xho7x7.oss-cn-shenzhen.aliyuncs.com的多个资源（如a.gif、b.gif、c.gif、d.gif、s.dat、s.jpg），这进一步确认样本可能在尝试下载或上传特定文件。

3. **畸形流量**：
   - 会话类型为Malformed（畸形流量），流量协议为HTTP，源IP为112.74.1.214:443，目的IP为10.0.2.15:49756。
   - 会话类型为Malformed（畸形流量），流量协议为TLS，源IP为112.74.1.214，目的IP为10.0.2.15。

4. **证书交换异常**：
   - 证书交换摘要显示IP:112.74.1.214与多个域名进行交互，包括alibaba (china) technology co., ltd.和globalsign nv-sa，这表明样本可能在尝试获取或验证证书信息。

这些异常流量表明样本可能在尝试与远程服务器进行通信，下载或上传恶意内容，验证证书，以及执行其他恶意行为。

munsimli

卡巴解壓與掃描均不報，雙擊一直跳出錯誤訊息的視窗關不掉

PhozeAMTB

WD 杀1x黑DLL。

GDHJDSYDH

EIS扫描miss all，沙盒内运行bii冰盾拦截几次，EIS随后不断拦截恶意地址，黑dll运行白exe后HMPA终止

莒县小哥

UNknownOoo

火绒
扫描：行为沙盒捉exe

1. 病毒详情：
   
2. 风险路径：C:\Users\User\Desktop\20250711银狐2x\bii.968218004.exe, 病毒名：HVM:Trojan/Injector.dn, 病毒ID：f8e1d1ed7850a458, 处理结果：已处理，删除文件
   

复制代码

biue

腾讯电脑管家 2X