银狐 FakeApp

显示全部楼层 · 发表于 2025-8-13 13:33:34

本帖最后由 GDHJDSYDH 于 2025-8-13 13:45 编辑

由病毒吧群求助者提供的银狐样本1x，ESSP kill
这个东西释放了三组白加黑衍生物，就离谱

VT初扫 7：VirusTotal - File - f4c45b94663e791fbb7d84b6eabec26f7bdef921f7bafe72934f00f2bc0259a8
MB： MalwareBazaar | SHA256 f4c45b94663e791fbb7d84b6eabec26f7bdef921f7bafe72934f00f2bc0259a8
Neiki：https://tip.neiki.dev/file/f4c45 ... e72934f00f2bc0259a8

样本：https://wormhole.app/J9A9jX#prFIvIIt8BvnAG478FKdzA
衍生物：https://wormhole.app/E4D45R#aS_B5U9HqIFPtSxwSTFqdQ

显示全部楼层 · 发表于 2025-8-13 14:16:43

瑞星扫描秘书双击mis

显示全部楼层 · 发表于 2025-8-13 14:22:01

MD掃描MISS，雙擊殺了個衍生物，被掛了個啟動項

显示全部楼层 · 发表于 2025-8-13 14:52:22

卡巴双击
事件: 检测到恶意对象
应用程序: Windows® installer
用户: DESKTOP-FQ5LO9C\Test
用户类型: 发起者
组件: 系统监控
结果描述: 检测到
类型: 木马
名称: PDM:Trojan.Win32.Bazon.a
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\Test\Desktop
对象名称: DeepLSetup (7).msi
原因: 行为分析
数据库发布日期: 今天，2025/8/12 下午8:59:00
MD5: 3BFE9CBC18AA1687A59F761EFE236EA7

显示全部楼层 · 发表于 2025-8-13 15:14:53

McAfee 扫描杀

显示全部楼层 · 发表于 2025-8-13 15:50:50

腾讯IOA 右键扫描报毒，但双击运行过程中并未提醒文件本体为病毒，文件运行后清除衍生物1x

显示全部楼层 · 发表于 2025-8-13 16:16:29

木马修改了注册表中启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Startup 键值
从默认的 %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
改为 %ProgramData%\Venlnk
该目录下存放了一个快捷方式 GooglUpdata.lnk 指向白利用
\AppData\Roaming\Nxonq1284_QUC\eton.exe（有Valve Corp.签名的 exe），导入的DLL ,tier0.dll为 230多MB的木马DLL，通过多重方式绕过杀软检测。

显示全部楼层 · 发表于 2025-8-13 17:59:50

wowocock 发表于 2025-8-13 16:16
木马修改了注册表中启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer%user Sh ...

請問前輩這樣的多重手段該怎樣確認是有防禦成功呢?
還是只要殺軟有攔截到某個dll就可以擋住呢?

显示全部楼层 · 发表于 2025-8-13 18:00:12

ESET Smart Securtiy Premium 解压没反应，扫描杀

扫描日志
检测引擎的版本: 31685 (20250813)
日期: 2025/8/13 时间: 17:59:40
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\DefaultBox\drive\W\银狐1x\DeepLSetup\DeepLSetup (7).msi
用户: DESKTOP-K07940I\Admin
W:\Sandbox\Admin\DefaultBox\drive\W\银狐1x\DeepLSetup\DeepLSetup (7).msi > MSI > disk1.cab > CAB > Thunderbird_v78.0.1.exe > 7ZSD > core/precomplete - 压缩文件已损坏
W:\Sandbox\Admin\DefaultBox\drive\W\银狐1x\DeepLSetup\DeepLSetup (7).msi > MSI > disk1.cab > CAB > EnumW.dll - Win64/Agent_AGen.FZT 特洛伊木马的变量 - 已保留
已扫描的对象数: 129
检测数: 1
已清除的对象数: 0
完成时间: 17:59:45 总扫描时间: 5 秒 (00:00:05)

显示全部楼层 · 发表于 2025-8-13 18:13:32

munsimli 发表于 2025-8-13 17:59
請問前輩這樣的多重手段該怎樣確認是有防禦成功呢?
還是只要殺軟有攔截到某個dll就可以擋住呢?

一般来说拦截到DLL即可，虽然是多重链，但只要白利用DLL那环，被切断就不会起作用了，不过因为是导入表DLL劫持，如果单纯只干掉DLL，启动的其他部分还在就会启动那个EXE，开机会弹框，提示无法找到该DLL,使很多小白用户不明所以，所以最好还是从根本上干掉启动才好。把启动项里的那个快捷方式清除即可，火绒专杀这边也会升级一版来进行类似的处理。

[病毒样本] 银狐 FakeApp

本帖子中包含更多资源

本帖子中包含更多资源