银狐1X

显示全部楼层 · 发表于 4 天前

本帖最后由图钉鱼于 2025-9-18 23:46 编辑

https://wormhole.app/d967KM#RbubXGrYU7suJjS2D6DtbA

群传播，火绒落地杀，受害者供职某大型央企，可能上班摸鱼办公电脑沦陷群发，群发到我手上

吃瓜群众全网上传一次。
国内只有360和火绒特征码杀。
样本有反检测功能，国内外沙箱均不理想，国内微步，奇安信，安天，阿里云均未检出，腾讯沙箱检出。
腾讯云安全_威胁情报中心
没分析，样本数字签名是复制白文件签名然后拼接到样本，无效!

显示全部楼层 · 发表于 4 天前

本帖最后由 ulyanov2233 于 2025-9-18 23:51 编辑

腾讯云沙箱的检测只要签名假直接报毒，甚至特意出了个病毒名就叫false sign。卡巴uds：UDS:Trojan.Win32.PoolInject

显示全部楼层 · 发表于 4 天前

BD云黑Gen:Suspicious.Cloud.1.@BY@aW2ELrhb

显示全部楼层 · 发表于 4 天前

显示全部楼层 · 发表于 3 天前

本帖最后由 aboringman 于 2025-9-19 09:04 编辑

https://bbs.kafan.cn/thread-2285072-1-1.html

跟这玩意应该是同族

ESET：miss

弹几次UAC弹窗

运行杀2衍生物，同款蓝屏重启后无异常

2025/9/19 0:09:04;C:\Program Files\Internet Explorer\NvSmartMax64.bin;481.7 kB;Win64/ShellCode.Agent.D 特洛伊木马;1;NT AUTHORITY\SYSTEM;78B0EA883BBE0F814253034630EEB025E3AC1762
2025/9/19 0:09:04;C:\Program Files\Internet Explorer\NvSmartMax64.dll;242.4 kB;Win64/Agent.GXZ 特洛伊木马的变量;1;NT AUTHORITY\SYSTEM;95F3534B84BD75A2ECE2BC1BD0D7AF8289081703

复制代码

奇怪了，我这的火绒无检出，难道VT上的引擎还不一样？？？？？?

显示全部楼层 · 发表于 3 天前

显示全部楼层 · 发表于 3 天前

衍生物（白加黑）：

显示全部楼层 · 发表于 3 天前

aboringman 发表于 2025-9-19 00:16
https://bbs.kafan.cn/thread-2285072-1-1.html

跟这玩意应该是同族

我这边跑出来的NvSmartMax64.dl，跟你那边跑出来的不一样，难不成这马子还会改hash..

我这边SHA1: bd221e9456dd2fc1974c626ca46082683dec35bd
你那边的是: 95F3534B84BD75A2ECE2BC1BD0D7AF8289081703

显示全部楼层 · 发表于 3 天前

果然，dll每次跑都不一样
57446f19061d3a58152d11e24b3ae421dd550f3f

显示全部楼层 · 发表于 3 天前

FSP无反应

[病毒样本] 银狐1X