Fake WPS 6X

显示全部楼层 · 发表于 4 天前

本帖最后由 chowjanshing 于 2025-9-23 13:57 编辑

3+3

https://wormhole.app/OX9aqW#iOfBXAdUEf38jg0TsqGphA

都是Bing上搜出来的，这次检查了，三个文件都没签名。FSP Miss All

https://wormhole.app/1zeLMN#WvsrwJO0UR7dKqCCpVpepg

新增三个，FSP Kill 1

显示全部楼层 · 发表于 4 天前

也不是有签名的就一定不是病毒，还要结合vt结果和沙箱行为去看，不过有签名的病毒确实难找很多

显示全部楼层 · 发表于 4 天前

KES 扫描kill 最后一个，其余的标准版双击
事件: 检测到恶意对象
用户: FX0114\mrshz
用户类型: 发起者
组件: 恶意软件扫描
结果: 检测到
结果描述: 检测到
类型: 木马
名称: HEUR:Backdoor.Win32.Farfli.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: dfhdfhdtj1.exe
对象路径: C:\Users\mrshz\Desktop\WPS_3X\WPS3.msi//disk1.cab//
对象的 SHA256: C24101D48C5B702FC04DCA2B84AC954ACC9D81DC720F5AD395E70AD2FA0A581D
对象的 MD5: C2BB832A46DF2ECC0C1D89525ED70175
原因: 机器学习
数据库发布日期: 今天，2025/9/23 10:53:00

显示全部楼层 · 发表于 4 天前

本帖最后由 aboringman 于 2025-9-23 15:15 编辑

ESET：0

WPS1.exe：

2025/9/23 13:17:33;C:\ProgramData\WindowsData\men.exe;4.2 MB;ML/Augur 特洛伊木马;1;A4E550026DA15B01C4F8C3473A764EA537FFA6D9

WPS2.exe：

2025/9/23 13:21:57;C:\Users\123aaa\AppData\Roaming\Embarcadero\AutoRecoverDat.dll;2.4 MB;Win32/Agent_AGen.FRJ 特洛伊木马的变量;1;  C28F29FD98640C5EA9A5077D6F16585115464FD6

2025/9/23 13:21:53;C:\Users\123aaa\AppData\Roaming\Embarcadero\GPUCache2.xml;83.0 kB;Win32/ShellCode.AA 特洛伊木马;1;  1D271D06F9C30115768B376524E38F1BC727783A

2025/9/23 13:21:51;C:\Users\123aaa\AppData\Roaming\GPUCache2.xml;83.0 kB;Win32/ShellCode.AA 特洛伊木马;1;  1D271D06F9C30115768B376524E38F1BC727783A

2025/9/23 13:21:51;C:\Users\123aaa\AppData\Roaming\GPUCache.xml;228.0 kB;Win32/ShellCode.AA 特洛伊木马;1;  DCFA8489EB2F7A28D90A40FA7DBAA9A6D5E260BD

2025/9/23 13:21:51;C:\Users\123aaa\AppData\Roaming\Embarcadero\GPUCache.xml;228.0 kB;Win32/ShellCode.AA 特洛伊木马;1;  DCFA8489EB2F7A28D90A40FA7DBAA9A6D5E260BD

2025/9/23 13:21:36;C:\Users\123aaa\AppData\Local\licenses.exe;2.7 MB;Win32/Loader.Lycaon.AF.gen 特洛伊木马的变量;1;  A0B3FD83D9247A5E47F2D3007C2A5531BAB347D7

WPS3.msi：

2025/9/23 13:23:41;C:\Program Files (x86)\Wipsueelpowisl_x3.15\Wipsueelpowisl_x3.15\dfhdfhdtj (1).exe;107.3 MB;Win64/GenKryptik_AGen.AZV 特洛伊木马;1;FA731793C7F888773C9054D0E893A30F3A54929B

2025/9/23 13:23:37;C:\inetpub\wwwroot\RoLMO\ICYLOaDe\prIMEBo\gS6TH.dll;2.3 MB;Win64/GenKryptik_AGen.AZV 特洛伊木马的变量;1;F0756C5081B6D86E328550252CB4C6BF6DBA874D

更新的3个：

2025/9/23 15:10:44;C:\Users\123aaa\Desktop\Fake WPS 3\WPS_Setup_X64_Xdko68.msi;271.3 MB;Win32/Farfli.CMI 特洛伊木马;1;0643A308B601AAB72F16852A5ED41482A4297C23

2025/9/23 15:09:45;C:\Users\123aaa\Desktop\Fake WPS 3\WpsSetup.exe;54.1 MB;Win64/Agent_AGen.BLG 特洛伊木马的变量;1;E8D564BB107841C6789693BACB77803294D574DA

whxsaigwpsbn-1.6.1.exe：

2025/9/23 15:12:38;C:\Program Files (x86)\GAmmam\lErTAg\CLiEN\1k.dll;2.3 MB;Win64/GenKryptik_AGen.AZV 特洛伊木马的变量;1;46980E823AF26AEACE7EC8B8284CB545808B869D

都是前面已经出现过的东西，重不重复不知道

显示全部楼层 · 发表于 4 天前

ulyanov2233 发表于 2025-9-23 13:15
也不是有签名的就一定不是病毒，还要结合vt结果和沙箱行为去看，不过有签名的病毒确实难找很多

记得，好像您上传过有签名的银狐。山西什么公司的。。。

显示全部楼层 · 发表于 4 天前

本帖最后由 ongarabazanade 于 2025-9-23 13:54 编辑

显示全部楼层 · 发表于 4 天前

显示全部楼层 · 发表于 4 天前

显示全部楼层 · 发表于 4 天前

本帖最后由 lingchenheiye 于 2025-9-24 09:29 编辑

火绒高启发扫描下剩1个

[病毒样本] Fake WPS 6X

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源