前面ps1的攻击载荷（stealer？）测过的可以不用测了 白加黑

ulyanov2233

【upd_2】链接：https://qfile.qq.com/q/Myzq4w7kwE  密码:infected 黑dll是包体里那个4mb的没签名dll
op clean:https://opentip.kaspersky.com/B8 ... usEvents?tab=lookup
黑dll的vt：https://www.virustotal.com/gui/f ... 0eb0cb2af071aae63d5
卡巴标准版7月12号下午的库，双击后反复触发高级清除，只能快照回滚

事件: 检测到恶意对象
用户: DESKTOP-K5OCIG7\yyx
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果描述: 检测到
类型: 木马
名称: MEM:Trojan.Win32.SEPEH.gen
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: AddInProcess32.exe
对象路径: pmem:\C:\Windows\Microsoft.NET\Framework\v4.0.30319
原因: 专家分析
数据库发布日期: 今天，2025/7/12 下午5:35:00

munsimli

求教大佬們這個樣本的具體惡意行為是什麼呢?
有看到進程掛起來，可是卡巴+HMPA全程不吭聲，這算反虛擬機?

ulyanov2233

munsimli 发表于 2025-7-12 19:26
求教大佬們這個樣本的具體惡意行為是什麼呢?
有看到進程掛起來，可是卡巴+HMPA全程不吭聲，這算反虛擬機?

微步云认为是来盗虚拟币钱包的
样本报告-微步在线云沙箱

懂法守法放到

补个火绒拦截图（之前是日志形式）。

ulyanov2233

懂法守法放到 发表于 2025-7-12 20:08
补个火绒拦截图（之前是日志形式）。

不知道火绒拦住那个黑dll没，卡巴我刚看了就是死活查不出那个黑dll所以反复高级扫描

懂法守法放到

ulyanov2233 发表于 2025-7-12 20:12
不知道火绒拦住那个黑dll没，卡巴我刚看了就是死活查不出那个黑dll所以反复高级扫描

这个不清楚，因为火绒拦截了恶意行为之后进程自退（我用的沙箱结果可能有差异。）

心醉咖啡

360下载保护未知

吃瓜群众第123位

猎鹰 miss

inhh1

CS Killed

biue

腾讯电脑管家 不报