fake app 1x vt0

fengyu0126

样本：https://wwqs.lanzoue.com/ic23G37c8o9e
VirusTotal - File - af92a6794f849b80196e489ce127cce88352f8c39072416965577645d901e8d3
微步跑出来是恶意：样本报告-微步在线云沙箱
下载站：

1. mm.gdfd.xyz

复制代码

ps：vt传十天了，居然还是0

heavencc

大数字竟然报毒

1. C:\Users\pathe\Desktop\MobaXterm_Community_v24.1_Setup\MobaXterm_Community_v24.1_Setup.exe        感染型病毒(Win32/Heur.Generic.HyoDI0kA)        已删除

复制代码

Curve25519

ESET Smart Security Premium 解压 miss，沙盘中双击触发 LiveGuard 分析。LiveGrid 无记录，15:40 右键准备查看 LiveGrid 信誉时 LiveGuard kill

2025/9/30 15:26:15;ESET 内核;ESET LiveGuard 正在分析文件，以确保其可安全使用。我们会在几分钟后给您发送通知。取消阻止文件(不建议)更改设置;DESKTOP-K07940I\Admin

2025/9/30 15:29:21;A6868E755C7A4939101530FCE3FB4329C9402478;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\MobaXterm_Community_v24.1_Setup\MobaXterm_Community_v24.1_Setup.exe;61176118;可执行文件;自动;ESET LiveGuard;DESKTOP-K07940I\Admin;;



2025/9/30 15:40:12;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\MobaXterm_Community_v24.1_Setup\MobaXterm_Community_v24.1_Setup.exe;ESET LiveGuard 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;尝试通过应用程序访问文件时发生事件: C:\Windows\explorer.exe (EA6066D4C145AF46220B996AA37C0449B41A9A6C).;A6868E755C7A4939101530FCE3FB4329C9402478;2025/9/30 15:26:02;;

tony099

楼主你确定这个是病毒？？卡巴opentip miss了

Curve25519

tony099 发表于 2025-9-30 15:38
楼主你确定这个是病毒？？卡巴opentip miss了

ESET LiveGuard kill 了

fengyu0126

tony099 发表于 2025-9-30 15:38
楼主你确定这个是病毒？？卡巴opentip miss了

我虚拟机跑了一下，请求这个域名：aliyun2025[.]com

ulyanov2233

奇安信天穹:该样本MobaXterm_Community_v24.1_Setup.exe为伪装成合法软件MobaXterm社区版安装程序的恶意程序，虽表面为常见远程连接工具安装包，但经分析确认其为被篡改的恶意软件，证书签名非法，存在“签名复制”行为，具备高度伪装性。样本运行后通过多层进程嵌套（SyStem.exe → mobaxterm_community_v24.1_setup.exe → 多个临时进程）实现隐蔽执行，利用Inno Setup打包器进行自我释放与部署，释放多个临时文件至系统临时目录及程序安装路径，包括多个可执行模块（如is-*.tmp）和快捷方式（MobaXterm.lnk），并最终将恶意模块写入安装目录并重命名为MobaXterm.exe，实现持久化驻留。

样本具备典型的恶意行为特征：首先，通过频繁遍历目录（如C:\program\77490\MobaXterm_Community_v24.1_Setup.*）查找目标文件或系统路径，疑似用于感染或定位目标；其次，实施跨进程内存操作，包括跨进程恢复线程（NtResumeThread）和内存写入（NtWriteVirtualMemory），并利用consent.exe进程对svchost.exe进行内存读写，具备典型的进程注入与内存破坏能力；再次，样本通过调用RtlDispatchException利用回调函数执行shellcode，实现代码执行绕过检测；同时，其通过NdrpClientMarshal调用RPC函数RAiLaunchAdminProcess实现权限提升，获取管理员权限，具备横向移动与系统控制能力。

此外，样本还检测并尝试绕过安全机制，如检测文件的zone.identifier区域标识，以规避系统下载文件警告；修改多个文件的写入时间戳，伪造文件创建时间，隐藏恶意行为痕迹；删除注册表键（RestartManager相关）以干扰系统管理机制。整体行为高度复杂，具备持久化、权限提升、内存注入、隐蔽通信、文件释放与伪装等多阶段攻击能力，属于典型的高级持续性威胁（APT）型恶意安装程序，应视为高风险威胁，建议立即隔离并清除。

飞翔的蒲公英

安天显示样本信誉可疑，澜砥大模型显示Trojan.Win32.BitCoinMiner[FakeAV]：

1. 文件类型：该文件是一个Windows可执行文件（PE格式），具有典型的恶意软件特征。
2. 恶意行为：
   - 伪装成合法软件：通过包含与合法软件相关的字符串（如“Certificate”、“https://mob”等），试图伪装成可信的应用程序。
   - 自启动机制：使用了常见的自启动技术，可能通过修改注册表或系统设置来实现开机自启。
   - 资源窃取：作为比特币挖矿木马，该文件会利用系统资源进行非法挖矿活动，消耗大量CPU和内存资源。
3. 潜在危害：
   - 性能下降：持续的挖矿活动会导致系统运行缓慢、发热严重。
   - 数据安全风险：可能用于收集敏感信息，如用户账户、密码等。
   - 系统稳定性问题：可能导致系统崩溃或关键服务异常。
**总结**
该文件被确认为 Trojan.Win32.BitCoinMiner[FakeAV]，具备典型的比特币挖矿木马特征。

一成不变

360下载杀

tony099

fengyu0126 发表于 2025-9-30 15:57
我虚拟机跑了一下，请求这个域名：aliyun2025[.]com

这个确定是病毒 伪装正常软件 360已经杀了 卡巴回复没有问题 没有检测到恶意软件 二次要求分析
  
Hello,

No malicious was found.
Thank you for your inquiry to Kaspersky.

Best regards, Danila, Malware Analyst
39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com https://securelist.com
https://opentip.kaspersky.com/ - get insights about suspicious files, hashes, URLs, IP addresses or domain names