收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 AVDisabler/Injector 1x
12下一页
返回列表 发新帖
查看: 1139|回复: 10
收起左侧

[病毒样本] AVDisabler/Injector 1x

[复制链接]
UNknownOoo
发表于 4 天前 | 显示全部楼层 |阅读模式
疑似利用WDAC阻止杀毒软件启动(需手动重启?)
注入系统进程

VT初扫:6/69



https://wwjw.lanzouq.com/iv92G35uoaib




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

ongarabazanade
发表于 4 天前 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

喀反
发表于 4 天前 | 显示全部楼层
360扫描miss

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

scottxzt
发表于 4 天前 | 显示全部楼层
继续

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Curve25519
发表于 4 天前 | 显示全部楼层
本帖最后由 Curve25519 于 2025-9-11 10:28 编辑

ESET Smart Security Premium 解压、扫描 miss,沙盘中双击杀衍生物,不确定算不算 miss。0911 复测,解压杀

扫描日志
检测引擎的版本: 31835 (20250910)
日期: 2025/9/10  时间: 15:13:44
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\DefaultBox\drive\W\xiangrikgui\xiangrikgui.exe
用户: DESKTOP-K07940I\Admin
已扫描的对象数: 83
检测数: 0
完成时间: 15:13:55  总扫描时间: 11 秒 (00:00:11)

2025/9/10 15:14:24;高级内存扫描程序;文件;系统内存 > regsvr32.exe(8592);Win32/FatalRAT_AGen.F 特洛伊木马 的变量;已包含被感染的文件 (下次重新启动后);NT AUTHORITY\ANONYMOUS LOGON;;904E08EB2B1A3E6CDDFF9C4FB306666CB491D7DE;;;
2025/9/10 15:14:30;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\user\all\Roning\Enpug.bin;可能是 Win64/ShellCode.Agent.A 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Windows\System32\regsvr32.exe (4385234F8B5531918D0DE908DD7ABCE98C04BD48).;28D7D2FDAA1C41A13D16DDAA20A23A230AE8DF0E;2025/9/10 15:14:28;;
2025/9/10 15:14:30;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\user\all\Roning\goldendays.dll;Win64/Agent_AGen.GIX 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Windows\System32\regsvr32.exe (4385234F8B5531918D0DE908DD7ABCE98C04BD48).;BF778F27C8ABC9BD44CA484BF18D45CD17F7BBC8;2025/9/10 15:14:28;;

2025/9/11 10:27:52;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\xiangrikgui\xiangrikgui.exe;Generik.MDUZILM 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;0F5D3D903B31390DCB3785A6F8863F8876C41A8E;2025/9/10 15:13:26;;
回复

举报

莒县小哥
发表于 4 天前 | 显示全部楼层
scottxzt 发表于 2025-9-10 15:00
继续

你的自动提交样本是不是关了? 为啥我解压后提示自动提交样本?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

wowocock
发表于 4 天前 | 显示全部楼层
目前看来只干火绒啊。火绒啥时候开始享受木马专门的照顾。别家都不管?
<SiPolicy xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="urn:schemas-microsoft-com:sipolicy" PolicyType="Base Policy">
<VersionEx>1.0.3.1</VersionEx>
<PlatformID>{2E07F7E4-194C-4D20-B7C9-6F44A6C5A234}</PlatformID>
<PolicyID>{31351756-3F24-4963-8380-4E7602335AAE}</PolicyID>
<BasePolicyID>{31351756-3F24-4963-8380-4E7602335AAE}</BasePolicyID>
<Rules>
<Rule>
<Option>Enabled:UMCI</Option>
</Rule>
<Rule>
<Option>Disabled:Runtime FilePath Rule Protection</Option>
</Rule>
<Rule>
<Option>Enabled:Revoked Expired As Unsigned</Option>
</Rule>
<Rule>
<Option>Enabled:Inherit Default Policy</Option>
</Rule>
<Rule>
<Option>Enabled:Unsigned System Integrity Policy</Option>
</Rule>
<Rule>
<Option>Enabled:Advanced Boot Options Menu</Option>
</Rule>
<Rule>
<Option>Enabled:Update Policy No Reboot</Option>
</Rule>
</Rules>
<FileRules>
<Allow ID="ID_ALLOW_A_0001" FileName="*"/>
<Allow ID="ID_ALLOW_A_0002" FileName="*"/>
</FileRules>
<Signers>
<Signer Name="Signer 1" ID="ID_SIGNER_S_0001">
<CertRoot Type="TBS" Value="A229D2722BC6091D73B1D979B81088C977CB028A6F7CBF264BB81D5CC8F099F87D7C296E48BF09D7EBE275F5498661A4"/>
<CertPublisher Value="北京火绒网络科技有限公司"/>
</Signer>
</Signers>
<SigningScenarios>
<SigningScenario ID="ID_SIGNINGSCENARIO_DRIVERS_1" Value="131">
<ProductSigners>
<FileRulesRef>
<FileRuleRef RuleID="ID_ALLOW_A_0001"/>
</FileRulesRef>
</ProductSigners>
<TestSigners/>
<TestSigningSigners/>
</SigningScenario>
<SigningScenario ID="ID_SIGNINGSCENARIO_WINDOWS" Value="12">
<ProductSigners>
<DeniedSigners>
<DeniedSigner SignerId="ID_SIGNER_S_0001"/>
</DeniedSigners>
<FileRulesRef>
<FileRuleRef RuleID="ID_ALLOW_A_0002"/>
</FileRulesRef>
</ProductSigners>
<TestSigners/>
<TestSigningSigners/>
</SigningScenario>
</SigningScenarios>
<CiSigners>
<CiSigner SignerId="ID_SIGNER_S_0001"/>
</CiSigners>
<Settings>
<Setting Provider="AllHostIds" Key="AllKeys" ValueName="EnterpriseDefinedClsId">
<Value>
<Boolean>true</Boolean>
</Value>
</Setting>
<Setting Provider="PolicyInfo" Key="Information" ValueName="Id">
<Value>
<String>022422</String>
</Value>
</Setting>
<Setting Provider="PolicyInfo" Key="Information" ValueName="Name">
<Value>
<String>BlockEDR</String>
</Value>
</Setting>
</Settings>
</SiPolicy>
回复

举报

scottxzt
发表于 4 天前 | 显示全部楼层
莒县小哥 发表于 2025-9-10 17:01
你的自动提交样本是不是关了? 为啥我解压后提示自动提交样本?

开着,很少能看到提示,要求提交样本
回复

举报

DeepSeek
发表于 4 天前 | 显示全部楼层
利用regsvr注入到系统白进程elevation_service.exe,然后这个进程再注入到ctfmon.exe。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

heavencc
发表于 4 天前 | 显示全部楼层
小a

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-9-14 10:13 , Processed in 0.126008 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表