病毒吧群友提供的 据说可以盗取steam余额

Rukia

楼主还有下载链接吗？

ulyanov2233

Rukia 发表于 2025-9-9 21:17
楼主还有下载链接吗？

学习波波的品德通过QQ闪传分享了【VMware_Workstation_Lite_17_6_3_24583834_精简安装注册版.zip】
链接：https://qfile.qq.com/q/K9S3Kg7yE4

scottxzt

双击

请叫我德玛西亚

wwwab 发表于 2025-9-9 21:13
你这测的啥？
文件夹名字"VMware_Workstation_Lite_17_6_3_24583834_精简安装注册版"是这个帖子的
文件 ...

不好意思 搞错了

ulyanov2233

该样本伪装为 “VMware_Workstation_Lite_17_6_3_24583834_精简安装注册版.rar”（SHA256：931dff6b3c75f80cb0f920a19e91ac7ecfb4d50377956327580d57dd4e1b2b77），威胁等级为 “可能恶意”，风险评分 8/10，具备广告软件、勒索软件、间谍软件等多重恶意属性。以下从恶意行为和可能恶意的文件两方面，基于文档内容展开精准分析：
一、核心恶意行为
样本的恶意行为覆盖 “防御规避”“权限提升”“持久化”“系统探测”“资源操控” 等关键阶段，所有行为均来自文档记录的沙箱分析结果，具体如下：
1. 防御规避：伪装与对抗检测
伪装 VMware 合法组件：样本通过查询 VMware 相关注册表项（如\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\VMware）、检测 VMware 驱动（vmci.sys vmnet.sys）和 VMware Tools 注册表键（\REGISTRY\MACHINE\SOFTWARE\VMware, Inc.\VMware Tools），伪装成正常虚拟化软件，逃避沙箱或安全软件的环境检测，降低被拦截概率。
修改注册表禁用安全机制：在\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\ActiveX Compatibility下创建多个键（如{BC1F4B6F-13AB-4239-8C79-D6DCADC52BAA}），并设置Compatibility Flags = "1024"，禁用 IE ActiveX 控件安全检测，可能用于加载恶意控件以绕过浏览器防护。
未签名 PE 执行规避验证：样本主程序及衍生执行文件（如vnetlib64.exe）均为 “未签名 PE”，且通过C:\Windows\system32\msiexec.exe（系统安装进程）间接执行，利用系统进程白名单绕过签名验证机制🔶1-54。
2. 权限提升：获取系统高权限
调整特权令牌（AdjustPrivilegeToken）：样本主程序VMware_Workstation_Lite_xxx.exe申请大量敏感系统权限，包括SeDebugPrivilege（调试权限，用于进程注入）、SeLoadDriverPrivilege（加载驱动权限，控制内核）、SeTakeOwnershipPrivilege（获取文件所有权，篡改系统文件）等，为后续恶意操作突破权限限制
组件对象模型劫持（COM Hijacking）：通过 “Event Triggered Execution: Component Object Model Hijacking” 修改\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID等注册表项，劫持系统 COM 组件调用流程，实现从普通权限到管理员权限的提升。
3. 持久化：确保长期控制
注册表配置自启动：修改\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\vsock\ImagePath，将服务镜像路径指向恶意驱动C:\Windows\system32\DRIVERS\vsock.sys，实现系统启动时自动加载恶意组件，保证重启后仍能维持控制。
创建系统证书信任项：在HKEY_USERS\.DEFAULT\Software\Microsoft\SystemCertificates下创建TrustedPeople CA Disallowed等多个证书相关键，可能添加恶意证书以信任后续恶意文件，避免被安全软件标记为威胁。
4. 系统探测：收集目标信息
枚举磁盘与硬件：遍历所有磁盘分区（如\??\A: \??\Z:）和 SCSI 设备注册表（\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI），获取系统存储配置与硬件信息，为数据窃取或勒索文件定位做准备
探测系统语言与环境：访问\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language，获取系统语言（如中文、英文），可能用于适配不同地区的恶意行为（如针对性勒索通知）。
枚举进程（EnumeratesProcesses）：通过C:\Windows\syswow64\MsiExec.exe频繁枚举系统进程，检测安全软件（如杀毒软件进程），规避实时防护拦截。
5. 资源操控：破坏与窃取
进程内存写入（WriteProcessMemory）：如 PID 784（msiexec.exe）向 PID 3348（syswow64\MsiExec.exe）写入内存，PID 3964（syswow64\MsiExec.exe）向vnetlib64.exe写入内存，可能注入恶意代码以隐藏执行流程或窃取进程数据。
使用卷影复制服务（VSS）：调用 “Volume Shadow Copy service COM API”，结合样本的 “勒索软件” 标签，可能用于删除系统卷影副本，阻止用户通过备份恢复被加密文件。
异常文件操作：在系统关键目录（如Drivers System32）创建、修改大量文件，部分操作导致程序崩溃（如C:\Windows\SysWOW64\WerFault.exe关联MsiExec.exe崩溃），破坏系统正常运行。
二、可能恶意的文件
基于文档记录的文件创建、修改、执行场景，以下文件具备明确恶意特征（未签名、路径异常、关联恶意行为），需判定为可能恶意的文件：
1. 驱动目录（DRIVERS）临时恶意文件
C:\Windows\system32\DRIVERS\SET系列.tmp：如SET5692.tmp SET6097.tmp SET87A5.tmp等，由vnetlib64.exe MsiExec.exe创建，释放至系统驱动目录，无数字签名，且关联 “防御规避”“权限提升” 行为，可能承载恶意代码以篡改正常驱动功能
C:\Windows\system32\DRIVERS\vsock.sys：被样本修改注册表ImagePath指向，作为自启动恶意驱动，无官方签名记录，用于系统启动时加载恶意组件，实现持久化。
2. System32 及子目录恶意文件
C:\Windows\system32\DRVSTORE下非官方驱动：如DRVSTORE\netuserif_4650F7C8C3AE34D7CBA379B2AA26CC6B717AA793\vmnetuserif.sys DRVSTORE\vsock_D8B42B71508A95216017E8A1115328A191A90032\vsock.sys，由DrvInst.exe MsiExec.exe创建，无微软 WHQL 认证或 VMware 签名，关联 “权限提升” 行为。
C:\Windows\system32\vnetlib64.dll：由C:\Program Files (x86)\VMware\VMware Workstation\vnetlib64.exe创建并修改，未签名，用于辅助进程注入或驱动加载，偏离正常 VMware 组件功能。
3. 伪装 VMware 组件的恶意执行文件
C:\Program Files (x86)\Common Files\VMware\USB\DriverCache\vnetlib64.exe：正常 VMware 无此路径下的vnetlib64.exe，该文件未签名，执行 “卸载 USB 驱动”“修改网络适配器” 等敏感操作，用于破坏系统网络配置或规避 USB 设备监控
C:\Program Files (x86)\VMware\VMware Workstation\elevated.dll：通过注册表\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{420F0000-71EB-4757-B979-418F039FC1F9}\InprocServer32指定为 COM 组件加载路径，未签名，用于 COM 劫持实现权限提升。
4. 临时目录（Temp）恶意文件
C:\Users\Admin\AppData\Local\Temp\VMware_Workstation_Lite_17_6_3_24583834_精简安装注册版.exe：样本主程序，未签名，触发所有恶意行为（如权限申请、进程注入），是恶意操作的源头。
C:\Users\Admin\AppData\Local\Temp\vminst.log：频繁创建且 MD5 值多变（如0c81e038b299b2b6e533b19254c22aaa ca78644974c0277e6b4f95261444bd94），记录系统硬件、进程等信息，用于后续数据回传

ewader

inhh1 发表于 2025-9-9 19:39
SESC阻止写盘，后续没动静

赛门铁克防护还是厉害

双鱼座小龙

ulyanov2233 发表于 2025-9-9 23:42
该样本伪装为 “VMware_Workstation_Lite_17_6_3_24583834_精简安装注册版.rar”（SHA256：931dff6b3c75f ...

分析详细

aikafans

avg 全程哑火

心痛的伤不起

aikafans 发表于 2025-9-10 09:42
avg 全程哑火

a系误报这么高，这东西居然哑火，那可惜了高误报了

aikafans

心痛的伤不起 发表于 2025-9-10 11:43
a系误报这么高，这东西居然哑火，那可惜了高误报了

熊猫都饿死了