查看: 1253|回复: 9
收起左侧

[病毒样本] 银狐2x

[复制链接]
ulyanov2233
发表于 前天 09:58 | 显示全部楼层
本帖最后由 ulyanov2233 于 2025-7-13 10:02 编辑

卡巴解压清空
事件: 对象已删除
用户: DESKTOP-K5OCIG7\yyx
用户类型: 发起者
应用程序名称: 7zG.exe
应用程序路径: C:\Program Files\7-Zip
组件: 文件反病毒
结果描述: 已删除
类型: 木马
名称: HEUR:Backdoor.Win32.Farfli.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: 6eb3c0da96d522b34afa08b8b7642a6fa716e10dcad79.exe
对象路径: C:\Users\yyx\Downloads\20250713银狐2x
对象的 MD5: D3C53E1D83DB411E62673EE8F62CF793
事件: 对象已删除
用户: DESKTOP-K5OCIG7\yyx
用户类型: 发起者
应用程序名称: 7zG.exe
应用程序路径: C:\Program Files\7-Zip
组件: 文件反病毒
结果描述: 已删除
类型: 木马
名称: HEUR:Backdoor.Win32.Xkcp.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: 040B9056C6F631E5F9F32174D3116636.exe
对象路径: C:\Users\yyx\Downloads\20250713银狐2x
对象的 MD5: 040B9056C6F631E5F9F32174D3116636
essp清空
2025/7/13 10:02:12;文件系统实时防护;文件;C:\Users\Y8219\Downloads\20250713银狐2x\6eb3c0da96d522b34afa08b8b7642a6fa716e10dcad79.exe;Win64/Spy.Agent.GF 特洛伊木马 的变量;已通过删除清除;FIREFLY\Y8219;在通过应用程序创建的新文件上发生了事件: C:\Program Files\7-Zip\7zG.exe (02DD4892E7B52C4ACC8D84930D24E8F57A6ABEE1).;A7A777142B6DADA415380D90E432332152DDB498;2025/7/13 9:45:57
2025/7/13 10:02:12;文件系统实时防护;文件;C:\Users\Y8219\Downloads\20250713银狐2x\040B9056C6F631E5F9F32174D3116636.exe;Win32/Loader.Lycaon.AG.gen 特洛伊木马 的变量;已通过删除清除;FIREFLY\Y8219;在通过应用程序创建的新文件上发生了事件: C:\Program Files\7-Zip\7zG.exe (02DD4892E7B52C4ACC8D84930D24E8F57A6ABEE1).;C6FD74FCB1388B15C892ACAC5675EB87910250FD;2025/7/13 9:45:54

aikafans
发表于 前天 10:01 | 显示全部楼层
avast

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
莒县小哥
发表于 前天 10:04 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
小玮
发表于 前天 10:05 | 显示全部楼层
ESET清空
2025/7/13 10:03:30;文件系统实时防护;文件;D:\20250713银狐2x\6eb3c0da96d522b34afa08b8b7642a6fa716e10dcad79.exe;Win64/Spy.Agent.GF 特洛伊木马 的变量;已通过删除清除;WIN-A84EIRE03KR\Evil;在通过应用程序创建的新文件上发生了事件: E:\360zip\360zip.exe (609986446231C3FFF5C6CB45E06AAFF18043FAEF).;A7A777142B6DADA415380D90E432332152DDB498;2025/7/13 9:45:57
扫描日志
检测引擎的版本: 31517 (20250712)
日期: 2025/7/13  时间: 10:03:32
已扫描的磁盘、文件夹和文件: D:\20250713银狐2x
用户: WIN-A84EIRE03KR\Evil
D:\20250713银狐2x\040B9056C6F631E5F9F32174D3116636.exe - Win32/Loader.Lycaon.AG.gen 特洛伊木马 的变量 - 已通过删除清除 [1]
已扫描的对象数: 1
检测数: 1
已清除的对象数: 1
完成时间: 10:03:36  总扫描时间: 4 秒 (00:00:04)

备注:
[1] 由于对象中仅包含病毒主体,因此已被删除。
tihs
发表于 前天 10:23 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
心醉咖啡
发表于 前天 10:48 | 显示全部楼层
360

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
懂法守法放到
发表于 前天 13:02 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
UNknownOoo
发表于 前天 19:36 | 显示全部楼层
本帖最后由 UNknownOoo 于 2025-7-13 19:38 编辑

火绒
扫描:1x
  1. 病毒详情:
  2. 风险路径:C:\Users\UnknownOoo\Downloads\20250713银狐2x\6eb3c0da96d522b34afa08b8b7642a6fa716e10dcad79.exe, 病毒名:Backdoor/Lotok.fs, 病毒ID:c284ccde13f78515, 处理结果:已处理,删除文件
复制代码


剩下运行:
040B9056C6F631E5F9F32174D3116636.exe -> 内存防护捉
  1. 病毒名称:Backdoor/Lotok.fs
  2. 病毒ID:C284CCDE13F78515
  3. 虚拟地址:0x0000000004C70000
  4. 映像大小:136KB
  5. 是否完整映像:否
  6. 数据流哈希:53e54ab7
  7. 操作结果:处理成功,进程已结束
  8. 进程ID:7392
  9. 操作进程:C:\Windows\SysWOW64\UserAccountBroker.exe

  10. 病毒名称:Trojan/ShellLoader.wg
  11. 病毒ID:AAC949A316FE810C
  12. 虚拟地址:0x0000000010000000
  13. 映像大小:268KB
  14. 是否完整映像:否
  15. 数据流哈希:53e54ab7
  16. 操作结果:处理失败,SFC进程未处理
  17. 进程ID:7392
  18. 操作进程:C:\Windows\SysWOW64\UserAccountBroker.exe
复制代码



至于为什么同一个进程会有三种处理结果...我也不造()
  1. 病毒详情:
  2. 风险路径:mem://2852-0xce81b43e-0x4a60000-C:\Windows\SysWOW64\UserAccountBroker.exe, 病毒名:Backdoor/Lotok.fs, 病毒ID:c284ccde13f78515, 处理结果:处理成功,进程已结束
  3. 风险路径:mem://2852-0xce81b43e-0x4e20000-C:\Windows\SysWOW64\UserAccountBroker.exe, 病毒名:Backdoor/Lotok.iv, 病毒ID:d69c1814f0cd12ad, 处理结果:处理失败,SFC进程未处理
  4. 风险路径:mem://2852-0xce81b43e-0x10000000-C:\Windows\SysWOW64\UserAccountBroker.exe, 病毒名:Trojan/ShellLoader.wg, 病毒ID:aac949a316fe810c, 处理结果:处理失败,进程结束失败
复制代码



biue
发表于 昨天 01:11 | 显示全部楼层
腾讯电脑管家 2X

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-7-15 10:34 , Processed in 0.130278 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表