Worm 1x

hashcake

https://www.virustotal.com/gui/f ... b075ae014a64195eb29
https://wwbc.lanzouu.com/iOvbm337nkeb
解压密码infected


bin\下的两个sysdiag*.exe均为病毒，bin\HRsword应该是漏洞利用程序

z80405789

____________________________

详情

威胁名称: Win32:MalwareX-gen [Trj]
威胁类型: 特洛伊木马 - 这类威胁会伪装成其他东西 (如图片、文档或其他文件)，诱骗您运行它，进而感染您的计算机。
状态: 已移到 隔离区
选项: 报告误检
检测程序: 自动防护
在电脑上来自: 2025/8/10 下午11:00
上次使用时间: 2025/8/10 下午11:00
启动项: 否

极少
Norton 社区中有 极少 使用了此文件。

极新
此文件已于 1 天前 发行。

高
此文件具有高风险。
____________________________

来源

位置: local://*C:\Program Files (x86)\360\360zip\360zip.exe               
____________________________

活动

路径 | 类型 | 状态
C:\Users\55\Desktop\HRSword\bin\sysdiag.exe | 文件 | 已修复
C:\Program Files (x86)\360\360zip\360zip.exe | 进程 | 已终止
C:\Users\55\Desktop\HRSword\bin\sysdiag1.exe | 文件 | 需要重新启动
C:\Users\55\Desktop\HRSword\bin\HRsword.exe | 文件 | 已删除
C:\Users\55\Desktop\HRSword\daemon.dll | 文件 | 已删除
C:\Users\55\Desktop\HRSword\libxsse.dll | 文件 | 已删除
C:\Users\55\Desktop\HRSword\HRSword.exe | 文件 | 已删除
C:\Users\55\Desktop\HRSword\libcodecs.dll | 文件 | 已删除
C:\Users\55\Desktop\HRSword\HRSword Uninstall.bat | 文件 | 已删除
C:\Users\55\Desktop\HRSword\libcurl.dll | 文件 | 已删除
C:\Users\55\Desktop\HRSword\selfprot.dll | 文件 | 已删除
C:\Users\55\Desktop\HRSword\uactmon.dll | 文件 | 已删除
C:\Users\55\Desktop\HRSword\usysdiag.dll | 文件 | 已删除
C:\Users\55\Desktop\HRSword\usysdiag.exe-RBE | 文件 | 已删除
C:\Users\55\Desktop\HRSword\usysdiag.exe | 文件 | 已删除
C:\Users\55\Desktop\HRSword\启动火绒剑_管理员运行.bat | 文件 | 已删除
C:\Users\55\Desktop\HRSword\drivers x32\usysdiag.exe | 文件 | 已删除
C:\Users\55\Desktop\HRSword\drivers x64\usysdiag.exe | 文件 | 已删除
C:\Users\55\Desktop\HRSword\HRSword Install.bat | 文件 | 已删除

Curve25519

ESET Smart Security Premium 解压杀，剩下的文件扫描不报，双击运行报错

2025/8/10 23:06:11;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\HRsword_green_2\HRsword_green\HRSword\bin\1.sys;Win64/Riskware.EchoAc.A 应用程序;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;A93197C8C1897A95C4FB0367D7451019AE9F3054;2025/8/10 23:06:09
2025/8/10 23:06:12;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\HRsword_green_2\HRsword_green\HRSword\bin\sysdiag.exe;Win32/Packed.VMProtect.BB 可疑应用程序 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;860E3CA93736643E93D5ABC7B71F341A52238065;2025/8/10 23:06:09
2025/8/10 23:06:13;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\HRsword_green_2\HRsword_green\HRSword\bin\HRsword.exe;Win64/Packed.VMProtect.X 可疑应用程序 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;EE65B4B1D63B73DA2E6072EC9359D7E420B44B3D;2025/8/10 23:06:09
2025/8/10 23:06:13;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\HRsword_green_2\HRsword_green\HRSword\bin\sysdiag1.exe;Win32/Packed.VMProtect.BB 可疑应用程序 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;7C737DA0BD7782BFC3F959618FFAF20488369AB4;2025/8/10 23:06:09

扫描日志
检测引擎的版本: 31670 (20250810)
日期: 2025/8/10  时间: 23:07:12
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\DefaultBox\drive\W\HRsword_green_2\HRsword_green\HRSword
用户: DESKTOP-K07940I\Admin
已扫描的对象数: 53
检测数: 0
完成时间: 23:07:12  总扫描时间: 0 秒 (00:00:00)

lingchenheiye

火绒解压后删除一个文件，报漏洞利用攻击，高启发下扫描又删一个

dbidbi

事件: 检测到恶意对象
用户: NT AUTHORITY\SYSTEM
用户类型: 系统用户
应用程序名称: SearchProtocolHost.exe
应用程序路径: C:\Windows\System32
组件: 文件反病毒
结果描述: 检测到
类型: 木马
名称: UDS:Trojan.Win32.Mucc
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: sysdiag.exe
对象路径: C:\Users\x\Desktop\样本\HRSword\bin
对象的 MD5: C720C23361A57748CB9096048DFAA2BD
原因: 云保护

hashcake

lingchenheiye 发表于 2025-8-10 23:59
火绒解压后删除一个文件，报漏洞利用攻击，高启发下扫描又删一个

miss了，bin\两个exe都是病毒

hashcake

dbidbi 发表于 2025-8-11 00:04
事件: 检测到恶意对象
用户: NT AUTHORITY\SYSTEM
用户类型: 系统用户

那个sysdiag1也是

心醉咖啡

360

ANY.LNK

利用的是EchoAC漏洞驱动，已经火绒剑
EchoAc的驱动已被加入加载黑名单

ongarabazanade