今早微信群新鲜样本（vt5x，这会儿又变成4x了...）

多变的风向

FSP把这个现在连接拉黑了

aikafans

多变的风向 发表于 2025-9-18 10:50
FSP把这个现在连接拉黑了

是拉黑了蓝奏云吧...

ongarabazanade

wowocock

https://cn-sec.com/archives/4379632.html ，该银狐的新变种，白利用模块从C3Exporer.exe、libcef_dll_wrapper.dll、libcef_dll_wrapper.bin，变为nvsmartmaxapp64.exe，NvSmartMax64.dll，NvSmartMax64.bin

多变的风向

aikafans 发表于 2025-9-18 11:06
是拉黑了蓝奏云吧...

是的 我刚试了一下 全部拉黑了

lsop1349987

emsi双击重启后没蓝屏

1. 2025/9/18 11:36:17
   
2. 行为监控检测 可疑行为 "Syscall" 来自于 C:\Users\user000\Desktop\hdi 2025-年 第 二 季 度 违 规 内 职 人 员 名 单 信 息dshaudasijdiasmciasicmoaskcadsdasdadsoakdokeomdsicewowifomdvsdokfoe (27).exe (SHA1: 55807CC7B84BE6A714D474ECFB09A00BA05865E2)

复制代码

wwwab

火绒双击:

1. 【1】2025-09-18 11:31:20,系统防护,系统加固,svchost.exe触犯文件防护规则, 已阻止
   
2. 
   
3. 防护项目：恶意创建系统任务目录
   
4. 目标文件：C:\Windows\System32\Tasks\Microsoft\Windows\AppID\Microsoft Compatibility Internet Explorer
   
5. 操作结果：已阻止
   
6. 进程ID：756
   
7. 操作进程：C:\Windows\System32\svchost.exe
   
8. 操作进程命令行：C:\Windows\system32\svchost.exe -k netsvcs -p
   
9. 操作进程校验和：BD4068A70BEEAE18195EDBDCD2837F2F43D254E6
   
10. 父进程ID：712
    
11. 父进程：C:\Windows\System32\services.exe
    
12. 父进程命令行：C:\Windows\system32\services.exe
    
13. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
14. 
    
15. 【2】2025-09-18 11:31:00,病毒防护,内存防护,发现病毒Backdoor/Lotok.li, 暂不处理
    
16. 
    
17. 病毒名称：Backdoor/Lotok.li
    
18. 病毒ID：42B9306BF2554784
    
19. 虚拟地址：0x00000000353C0000
    
20. 映像大小：4.0KB
    
21. 是否完整映像：否
    
22. 数据流哈希：4429571d
    
23. 操作结果：暂不处理
    
24. 进程ID：8100
    
25. 操作进程：C:\Windows\System32\VSSVC.exe
    
26. 操作进程命令行：C:\Windows\system32\vssvc.exe
    
27. 父进程ID：712
    
28. 父进程：C:\Windows\System32\services.exe
    
29. 父进程命令行：C:\Windows\system32\services.exe
    
30. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
31. 
    
32. 【3】2025-09-18 11:31:00,病毒防护,内存防护,发现病毒Backdoor/Lotok.li, 暂不处理
    
33. 
    
34. 病毒名称：Backdoor/Lotok.li
    
35. 病毒ID：42B9306BF2554784
    
36. 虚拟地址：0x0000000035270000
    
37. 映像大小：4.0KB
    
38. 是否完整映像：否
    
39. 数据流哈希：4429571d
    
40. 操作结果：暂不处理
    
41. 进程ID：8100
    
42. 操作进程：C:\Windows\System32\VSSVC.exe
    
43. 操作进程命令行：C:\Windows\system32\vssvc.exe
    
44. 父进程ID：712
    
45. 父进程：C:\Windows\System32\services.exe
    
46. 父进程命令行：C:\Windows\system32\services.exe
    
47. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
48. 
    
49. 【4】2025-09-18 11:31:00,系统防护,系统加固,VSSVC.exe触犯系统免疫规则, 已阻止
    
50. 
    
51. 防护项目：利用系统进程释放恶意文件
    
52. 可疑文件：C:\Program Files\Internet Explorer\NvSmartMax64.bin
    
53. 操作结果：已阻止
    
54. 进程ID：8100
    
55. 操作进程：C:\Windows\System32\VSSVC.exe
    
56. 操作进程命令行：C:\Windows\system32\vssvc.exe
    
57. 操作进程校验和：BE2FBBC23A6A32E48A185BC768D7CCFB23FB446D
    
58. 父进程ID：712
    
59. 父进程：C:\Windows\System32\services.exe
    
60. 父进程命令行：C:\Windows\system32\services.exe
    
61. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
62. 
    
63. 【5】2025-09-18 11:31:00,系统防护,系统加固,VSSVC.exe触犯系统免疫规则, 已阻止
    
64. 
    
65. 防护项目：利用系统进程释放恶意文件
    
66. 可疑文件：C:\Program Files\Internet Explorer\NvSmartMax64.dll
    
67. 操作结果：已阻止
    
68. 进程ID：8100
    
69. 操作进程：C:\Windows\System32\VSSVC.exe
    
70. 操作进程命令行：C:\Windows\system32\vssvc.exe
    
71. 操作进程校验和：BE2FBBC23A6A32E48A185BC768D7CCFB23FB446D
    
72. 父进程ID：712
    
73. 父进程：C:\Windows\System32\services.exe
    
74. 父进程命令行：C:\Windows\system32\services.exe
    
75. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
76. 
    
77. 【6】2025-09-18 11:30:59,系统防护,系统加固,VSSVC.exe触犯系统免疫规则, 已阻止
    
78. 
    
79. 防护项目：利用系统进程释放恶意文件
    
80. 可疑文件：C:\Program Files\Internet Explorer\nvsmartmaxapp64.exe
    
81. 操作结果：已阻止
    
82. 进程ID：8100
    
83. 操作进程：C:\Windows\System32\VSSVC.exe
    
84. 操作进程命令行：C:\Windows\system32\vssvc.exe
    
85. 操作进程校验和：BE2FBBC23A6A32E48A185BC768D7CCFB23FB446D
    
86. 父进程ID：712
    
87. 父进程：C:\Windows\System32\services.exe
    
88. 父进程命令行：C:\Windows\system32\services.exe
    
89. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    

复制代码

wwwab

衍生物（白加黑）：

wowocock

aboringman 发表于 2025-9-18 10:24
疯狂弹UAC窗口

虽然触发PDM，但是之后系统蓝屏了，而且重启后还是继续蓝屏，处于无法正常使用的状态。

木马会创建并注入到带critical process属性的进程中，检测到被安全软件检测，比如读取木马的内存线程信息等，会触发木马SHELL CODE执行KERNEL32!ExitProcessImplementation，从而触发Terminating critical process，从而触发 CRITICAL PROCESS DIED 蓝屏
Terminating critical process 0xFFFFCB884538B080 (dllhost.exe)
Break, or Ignore (bi)? B
B
Break instruction exception - code 80000003 (first chance)
nt!PspCatchCriticalBreak+0xa9:
fffff805`28cc99fd cc              int     3
0: kd> kv
# Child-SP          RetAddr           : Args to Child                                                           : Call Site
00 ffffa50d`7ebe2980 fffff805`28bda521 : 00000000`00000000 00000000`00000006 ffffa50d`7ebe2b00 fffff300`418807f0 : nt!PspCatchCriticalBreak+0xa9
01 ffffa50d`7ebe2a20 fffff805`28ad6ebd : ffffffff`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!PspTerminateAllThreads+0x165a55
02 ffffa50d`7ebe2a90 fffff805`285d5355 : ffffcb88`6a9e9080 ffffcb88`6a9e9080 ffffcb88`69cf1080 d234aade`46f20029 : nt!NtTerminateProcess+0x19d
03 ffffa50d`7ebe2b00 00007ff8`87c9cc74 : 00007ff8`87c6af54 00000000`000000ff d234aade`46f20029 d234aade`46f20029 : nt!KiSystemServiceCopyEnd+0x25 (TrapFrame @ ffffa50d`7ebe2b00)
04 00000083`100ff578 00007ff8`87c6af54 : 00000000`000000ff d234aade`46f20029 d234aade`46f20029 00007ff8`87c8b58d : ntdll!NtTerminateProcess+0x14
05 00000083`100ff580 00007ff8`8656cdda : 00000000`00000000 00000001`800211b5 00000000`00000000 00000083`100ff680 : ntdll!RtlExitUserProcess+0x54
06 00000083`100ff5b0 00000001`800211ef : 00007ff8`87c9ca60 00007ff8`87c9ca60 00000083`00000001 d234aade`46f20029 : KERNEL32!ExitProcessImplementation+0xa
07 00000083`100ff5e0 00007ff8`87c9ca5f : 00007ff8`87c9ca60 00000083`00000001 d234aade`46f20029 6c642e6c`6c64746e : 0x00000001`800211ef
0: kd> ub 1800211ef
00000001`800211d7 d34533          rol     dword ptr [rbp+33h],cl
00000001`800211da c0c645          rol     dh,45h
00000001`800211dd 6701488d        add     dword ptr [eax-73h],ecx
00000001`800211e1 55              push    rbp
00000001`800211e2 67b101          mov     cl,1
00000001`800211e5 ffd7            call    rdi
00000001`800211e7 33c9            xor     ecx,ecx
00000001`800211e9 ff15c9d30300    call    qword ptr [00000001`8005e5b8]
0: kd> dq 00000001`8005e5b8
00000001`8005e5b8  00007ff8`8656cdd0 00007ff8`8656cca0
00000001`8005e5c8  00007ff8`86571e60 00007ff8`86567bf0
00000001`8005e5d8  00007ff8`865723f0 00007ff8`8656a1d0
00000001`8005e5e8  00007ff8`8656a1e0 00007ff8`86571ee0
00000001`8005e5f8  00007ff8`8656fb30 00007ff8`8656a120
00000001`8005e608  00007ff8`86572050 00007ff8`86571e10
00000001`8005e618  00007ff8`8656b7a0 00007ff8`86566630
00000001`8005e628  00000000`00000000 00007ff8`781ac530
0: kd> u 00007ff8`8656cdd0
KERNEL32!ExitProcessImplementation:
00007ff8`8656cdd0 4883ec28        sub     rsp,28h
00007ff8`8656cdd4 ff1556c50500    call    qword ptr [KERNEL32!_imp_RtlExitUserProcess (00007ff8`865c9330)]
00007ff8`8656cdda cc              int     3
00007ff8`8656cddb cc              int     3
00007ff8`8656cddc cc              int     3
00007ff8`8656cddd cc              int     3
00007ff8`8656cdde cc              int     3
00007ff8`8656cddf cc              int     3

tony099

wowocock 发表于 2025-9-18 11:50
木马会创建并注入到带critical process属性的进程中，检测到被安全软件检测，比如读取木马的内存线程信息 ...

大佬能否理解为这是木马的一种自杀式手段 故意让蓝屏的？ 意思不让杀软查杀的手段呗