买推广的的银狐上新了（静态做的好，可以测主防)

ulyanov2233

这是质量高的一个 后面还有低质量的，做个整合包vt初扫1/57：https://www.virustotal.com/gui/f ... e474c4215a35e50fea4
【w_ps安装包20.25.10.rar】
链接：https://qfile.qq.com/q/G6Zt4kos2k
c2地址:38.91.116.170:8083
38.91.116.170:80
xiaoshihou12.top

UNknownOoo

火绒
扫描：行为沙盒捉

1. 病毒详情：
   
2. 风险路径：C:\Users\User\Desktop\w_ps安装包20.25.10.msi >> splayersupek12.exe, 病毒名：HVM:Trojan/ShellLoader.vf, 病毒ID：69865923851902f4, 处理结果：暂不处理
   

复制代码

淘淘巷

卡巴双击杀

1. 事件: 检测到恶意对象
   
2. 应用程序: Windows® installer
   
3. 用户: DESKTOP-FHFH0T9\_
   
4. 用户类型: 发起者
   
5. 组件: 系统监控
   
6. 结果说明: 检测到
   
7. 类型: 木马
   
8. 名称: PDM:Trojan.Win32.Generic
   
9. 威胁级别: 高
   
10. 对象类型: 进程
    
11. 对象路径: C:\Users\_\Downloads\w_ps安装包20.25.10
    
12. 对象名称: w_ps安装包20.25.10.msi
    
13. 原因: 行为分析
    
14. 数据库发布日期: 今天，2025/7/20 下午10:09:00
    
15. MD5: EE7975DE21FDAF05AB85EC16CAEA8AF6

复制代码

heavencc

卡巴扫描miss，双击PDM:Trojan.Win32.Generic

scottxzt

扫

驭龙

这大小已经超出ESET LiveGurad上传最大值，这是有针对性的处理吗？
解压出splayersupek12.exe文件，LiveGurad分析为安全

ulyanov2233

驭龙 发表于 2025-7-20 23:27
这大小已经超出ESET LiveGurad上传最大值，这是有针对性的处理吗？
解压出splayersupek12.exe文件，LiveGu ...

根据triage沙箱来看，核心攻击组件不止这一个

该样本通过 Windows 安装程序（msiexec.exe）执行后，在系统多个关键目录释放恶意组件，具体路径和文件如下：

Program Files 目录：
释放C:\Program Files (x86)\wps\wps\splayer supek12.exe（核心恶意进程）。
释放C:\Program Files (x86)\wps\wps\WPS\_Setup\_20305 (2).exe（参与 MBR 写入和网络通信）。
释放C:\Program Files (x86)\Kingsoft\office6\wpscloudsvr.exe（持久化相关进程）。
Windows 目录：
在C:\Windows\Installer\释放临时文件（如MSI9B97.tmp），用于组件对象模型劫持和权限操纵。
创建C:\Windows\Installer\e578e26.msi等安装包文件，维持恶意进程运行。
用户目录：
在C:\Users\Admin\AppData\Local\Kingsoft\WPS Office\12.1.0.20305\office6\释放ksomisc.exe（负责注册表修改和系统配置篡改）。
其他目录：
在C:\ProgramData\kingsoft\20250720\_145608\WPS\_Setup\释放_20305 (2).exe（参与网络通信和恶意指令执行）

这个是沙箱的分析报告，龙大想找衍生物可以从这里找https://tria.ge/250720-saaj6asyax

驭龙

ulyanov2233 发表于 2025-7-20 23:41
根据triage沙箱来看，核心攻击组件不止这一个这个是沙箱的分析报告，龙大想找衍生物可以从这里找https:// ...

其实吧，我就是随便测测，我都懒得沙箱分析，不过感谢分享

ulyanov2233

驭龙 发表于 2025-7-20 23:45
其实吧，我就是随便测测，我都懒得沙箱分析，不过感谢分享

其实不止针对了live guard ，卡巴的op也被针对了，正正好好多十二兆，我一直在想怎么没有体积大于650mb的病毒，这样连vt都传不上去

驭龙

ulyanov2233 发表于 2025-7-20 23:50
其实不止针对了live guard ，卡巴的op也被针对了，正正好好多十二兆，我一直在想怎么没有体积大于650mb的 ...

太大的话，用户可能也不愿意去下载，所以他们不这么玩？不过我见过压缩包只有几MB，解压却几百MB的非压缩炸弹类的病毒样本，只是这种没有流行起来就没有了