以图片格式加密的Farfli

7740248

压缩包里面的文件是exe格式，解压后有3个文件，2个是7z压缩的，还有一个是webp图片格式，但其实是伪装成图片的压缩包。压缩包有密码无法解压，里面是木马的程序。
样本地址：http://4275.com/ta4smo
样本报告-微步在线云沙箱

Curve25519

ESET Smart Security Premium 解压、扫描 miss，7z.dll 和 RAwle.exe LiveGrid 信誉良好，webp 扩展名改为 rar 后由于有密码，无法解压，修改为 exe 后在沙盘中双击似乎没有反应

扫描日志
检测引擎的版本: 31886 (20250919)
日期: 2025/9/19  时间: 17:56:29
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\DefaultBox\drive\W\Chormex64\Chormex64
用户: DESKTOP-K07940I\Admin
已扫描的对象数: 8
检测数: 0
完成时间: 17:56:29  总扫描时间: 0 秒 (00:00:00)

Curve25519

我把 Chormex64.7z 改名为 Chormex64.exe 就可以运行了，沙盘中运行 ESET Smart Security Premium 监控 miss

微微的笑

1. 事件: 检测到恶意对象
   
2. 用户: XZBL\Administrator
   
3. 用户类型: 活动用户
   
4. 组件: 病毒扫描
   
5. 结果: 检测到
   
6. 结果描述: 检测到
   
7. 类型: 木马
   
8. 名称: HEUR:Backdoor.Win32.Farfli.gen
   
9. 精确度: 启发式分析
   
10. 威胁级别: 高
    
11. 对象类型: 文件
    
12. 对象名称: Chormex64
    
13. 对象路径: C:\Users\Administrator\Downloads\Chormex64
    
14. 对象的 MD5: 5A39FCD4CD0A5DD1EF7C6C0BC336A9C3
    
15. 原因: 机器学习
    
16. 数据库发布日期: 今天，2025/9/19 下午3:29:00

复制代码

华为miss

ongarabazanade

aboringman

Curve25519 发表于 2025-9-19 18:07
我把 Chormex64.7z 改名为 Chormex64.exe 就可以运行了，沙盘中运行 ESET Smart Security Premium 监控 mis ...

我这边是干掉了一个衍生物dll，你那边ELG有没有日志的？

1. 2025/9/19 18:44:24;C:\Windows\debug\RULecoRE\OrLOcKEr\omeGAmE\Mq9p0h.dll;2.0 MB;Suspicious Object;1; A2BF49493F78D2409B79198BE438A983625E6364

复制代码

Curve25519

aboringman 发表于 2025-9-19 18:46
我这边是干掉了一个衍生物dll，你那边ELG有没有日志的？

没有，你这个能杀可能是我手动上报了衍生物的关系？我把本体和衍生物都上报了

2025/9/19 18:05:10;A2BF49493F78D2409B79198BE438A983625E6364;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\C\WINDOWS\debug\RULecoRE\OrLOcKEr\omeGAmE\Mq9p0h.dll;2045952;可执行文件;自动;ESET LiveGrid®;DESKTOP-K07940I\Admin;;
2025/9/19 18:21:06;0F7098E52140A5EEF5D36123B3B30DAC28A55595;W:\Sandbox\Admin\DefaultBox\drive\W\Chormex64\Chormex64.exe;111545244;可执行文件;手动;ESET LiveGuard;DESKTOP-K07940I\Admin;;
2025/9/19 18:21:16;A2BF49493F78D2409B79198BE438A983625E6364;W:\Sandbox\Admin\DefaultBox\drive\C\WINDOWS\debug\RULecoRE\OrLOcKEr\omeGAmE\Mq9p0h.dll;2045952;可执行文件;手动;ESET LiveGuard;DESKTOP-K07940I\Admin;;
2025/9/19 18:21:22;C74A509457498C3F3FCD5423B428360F1E883004;W:\Sandbox\Admin\DefaultBox\drive\C\WINDOWS\debug\RULecoRE\OrLOcKEr\omeGAmE\KX58fmfPlQ.exe;995136;可执行文件;手动;ESET LiveGuard;DESKTOP-K07940I\Admin;;
2025/9/19 18:22:34;9642A3BDC59E09F12209B842F9EF100C26B21351;W:\Sandbox\Admin\DefaultBox\drive\C\WINDOWS\debug\RULecoRE\OrLOcKEr\omeGAmE\D1dhKz.b;14574661;其他;手动;ESET LiveGuard;DESKTOP-K07940I\Admin;;
2025/9/19 18:22:39;C74A509457498C3F3FCD5423B428360F1E883004;W:\Sandbox\Admin\DefaultBox\drive\C\WINDOWS\debug\RULecoRE\OrLOcKEr\omeGAmE\KX58fmfPlQ.exe;995136;可执行文件;手动;ESET LiveGuard;DESKTOP-K07940I\Admin;;

haol

To 樓主
webp壓縮檔密碼":MaNcKxGw6162Y"

Rukia

BEST
explorer 提示堆栈缓存溢出
结束了白文件的进程

scottxzt

解压，改为EXE，双击