2507银狐最新变种x1------>VT 0/66

UNknownOoo

嘶...加载模式和之前看过的一个样本很像（某样本内存dump）...但忘记是哪个样本了（甚至免杀还没之前那个好）

得夸一下瑞星，瑞星两个都检出了 =w=

ZXCVDS

ulyanov2233 发表于 2025-7-30 18:27
eset拉黑了这个c2地址，如果开了防火墙应该能拦下来，说明行为没跑出来https://www.virustotal.com/gui/i ...

依旧在

PhozeAMTB

WD 扫描&双击 miss。样本运行时崩溃。

inhh1

MDB寄
BEST ATD杀

Curve25519

ESET Smart Security Premium 解压没反应，扫描杀 dll，沙盘中双击运行居然可以启动（有进程，没有界面），ESSP 不报毒

扫描日志
检测引擎的版本: 31614 (20250731)
日期: 2025/7/31  时间: 11:00:53
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\DefaultBox\drive\W\202507xx_1
用户: DESKTOP-K07940I\Admin
W:\Sandbox\Admin\DefaultBox\drive\W\202507xx_1\m$RECYCLE.BIN\data\DBGBufferc.dll - Suspicious Object - 已通过删除清除 [1]
已扫描的对象数: 18
检测数: 1
已清除的对象数: 1
完成时间: 11:00:54  总扫描时间: 1 秒 (00:00:01)

备注:
[1] 由于对象中仅包含病毒主体，因此已被删除。

tzhtdx

1. <configuration>
   
2.   <startup>
   
3.     <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.0"/>
   
4.   </startup>
   
5.   <runtime>
   
6.     <assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">
   
7.       <probing privatePath="m$RECYCLE.BIN\data"/>
   
8.     </assemblyBinding>
   
9.     <appDomainManagerAssembly value="DBGBufferc, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null"/>
   
10.     <appDomainManagerType value="System.mesinip"/>
    
11.   </runtime>
    
12. </configuration>

复制代码

<appDomainManagerAssembly value="DBGBufferc, ..."/> [color=rgba(0, 0, 0, 0.88)]自定义AppDomain管理器  [color=rgba(0, 0, 0, 0.88)]加载名为 DBGBufferc[color=rgba(0, 0, 0, 0.88)] 的恶意程序集[color=rgba(0, 0, 0, 0.88)]

[color=rgba(0, 0, 0, 0.88)]简单分析一下
[color=rgba(0, 0, 0, 0.88)]
[color=rgba(0, 0, 0, 0.88)]样本解压后的文件夹：

[color=rgba(0, 0, 0, 0.88)][backcolor=rgba(175, 184, 193, 0.2)]DBGBufferc.dll属性

这是一个c#编写的恶意dll，如下特征：
读取目录下的html，其实是加密的恶意shellcode

解密函数


通过加载windows api申请内存并加载shellcode运行

anthonyqian

ESET分析后入两个

The detection for this threat will be included in the next update of detection engine 31616



DBGBufferc.dll - MSIL/Injector.WOV trojan
scde.html - Win32/Farfli.DAV trojan

biue

腾讯电脑管家 1X