fakeapp1x vt=0

xiaozhu009

https://wormhole.app/J9BAjl#Elu_ADmNjMUJ0PQkNLPKFg
VirusTotal - File - 432d630e4a8d3f24e05a5fa5c195a070ab7c809cd6542f12743d145f3d8ccdca

c2:103.179.172.227:443

心醉咖啡

360下载保护安全

likexcm

ESSP 未检测到任何威胁

linkak

解压开后杀dll

懂法守法放到

ulyanov2233

卡巴+hmpa ，双击hmpa阻止，但是没抓出黑dll

从提供的日志来看，Sophos杀毒软件（hmpalert.dll）拦截了一次可疑的内存篡改行为（AntiTampering），以下是关键分析：

1. 事件核心信息
目标进程：notepad.exe（记事本，PID 7276）

攻击源：chrome.exe（PID 10196，路径可疑：C:\Program Files (x86)\Firefox\Firefox\Windows Startup Applications\）

注意：此路径异常，Chrome浏览器不应位于Firefox目录下，可能是恶意程序伪装。

行为：尝试修改amsi.dll!AmsiScanBuffer()的内存保护属性（ProtectVirtualMemory），可能意图绕过AMSI（反恶意软件扫描接口）的检测。

2. 攻击技术分析
Hook AMSI函数：
AmsiScanBuffer是AMSI的核心扫描函数，恶意软件常通过修改其内存（如注入代码或修改指针）来绕过杀毒软件的动态扫描。

调用链：

调用VirtualProtect（KernelBase.dll）尝试修改内存属性（如设为可写/可执行）。

调用源来自匿名模块（anonymous; chrome.exe），说明代码可能通过进程注入或反射DLL加载执行。

堆栈痕迹：
显示从chrome.exe的匿名代码段发起调用，进一步表明恶意代码可能通过进程注入（如DLL注入、Process Hollowing）劫持了合法进程。

3. 关联可疑活动
进程树溯源：

chrome.exe → msiexec.exe（Windows Installer服务）→ services.exe → wininit.exe

恶意软件可能通过MSI安装包（如1a5d0.msi）部署，或利用MSI的合法功能执行恶意操作。

文件投放：

多个临时文件（.tmp、.rbs）被msiexec.exe创建，可能用于存储恶意载荷或配置信息。

文件路径包括C:\Config.Msi\和C:\Windows\Installer\，这是MSI安装的常见目录。

4. 结论：恶意行为特征
AMSI绕过：直接针对amsi.dll的内存篡改是典型的规避检测手段。

进程伪装：恶意进程伪装成Chrome，但路径异常（位于Firefox目录）。

MSI滥用：通过msiexec.exe投放文件，可能利用MSI安装包持久化或提权。

op又clean了难绷Kaspersky Threat Intelligence Portal — Report — 432D630E4A8D3F24E05A5FA5C195A070AB7C809CD6542F12...疑似黑dll1x：密码:infected

ababababab

WD 扫描Miss
运行后拦截了一下

————————————————————
卡巴斯基 扫描Miss
运行后无反应有点拉
————————————————————
360杀毒 扫描Miss
运行后无反应

Rukia

上报BD后，好怪
The result of the analysis came out, and the file is clean and currently not detected by our product.

莒县小哥

ulyanov2233

Rukia 发表于 2025-7-14 12:17
上报BD后，好怪
The result of the analysis came out, and the file is clean and currently not detecte ...

黑dll给他们发了吗