软件下载区发现的可疑文件

ulyanov2233

【SuperBootFix1.rar】
链接：https://qfile.qq.com/q/Qwzz0HwPy8
vt：https://www.virustotal.com/gui/f ... 63a7b107e/detection
原贴链接:https://bbs.kafan.cn/thread-2285544-1-1.html

hsks

扬帆起航 发表于 2025-10-11 08:00
@hsks

你好，方便说一下你那边的分析结果以及你的想法吗？

昨天只是浅浅的看了下，深入到代码的分析就交给其他人了（首先，考虑到这是民间编写的程序，加了upx壳并且涉及到对磁盘和引导文件的操作（磁盘修复和引导方面的修复），对我来说除非能揪出来明显的恶意行为（diskwriter之类的），否则只能考虑将该工具分划到日常不需要的程序/有一定风险的程序。
查看VT结果，虽然VT目前有54/71的结果，但仔细看各大杀软的报毒结果，卡巴所报的Fsysna是一个比较模糊的结果，类似于WD的Wacatac，除去像S1,CS,DI之类的NGAV以及像阿里这种疑似抄袭卡巴结果的杀软以及偏冷门表现不是很突出的杀软后，趋势的NameTrick报法也说明不出来什么（也许是fix之类的关键词触发了启发式报法）。所以VT上的结果可能只是因为它是民间工具，就像破解版软件，易语言，或者加了强壳的工具，如果结果很模糊，不能简单的就将它归类于恶意样本。
再看看样本里绑了什么组件，结合triage沙箱结果来看，首先看第一层：

7z.exe和7z.dll不用多说，解压用的，把相关组件解压到Temp文件夹里


md5.exe和md5,ini是配套的，根据md5.ini中的信息，推测是组合find.exe查找相关组件的


经过一大串的查找工作后，可以看到调用了注册表，还运行了Bootmode.exe推测是读取系统相关信息（即工具里的“扫描系统”操作）

Bootmode.exe的界面（“BIOS和UEFI启动模式判断”）：
扫描系统产生的结果：
可以看出基本一一对应（查找PartitionType之类的）
cecho.exe未知，根据沙箱结果来看，应该是给用户输出相关操作提示的

心醉咖啡

360

ulyanov2233

督查来看一下吧，多引擎报毒已经到50个了@扬帆起航

扬帆起航

ulyanov2233 发表于 2025-10-9 21:11
督查来看一下吧，多引擎报毒已经到50个了@扬帆起航

是否有更准确和权威的行为分析以及人工分析结果？

ulyanov2233

扬帆起航 发表于 2025-10-9 21:16
是否有更准确和权威的行为分析以及人工分析结果？

卡巴是扫描是直接入库了，他们人工应该看过了

事件: 检测到恶意对象
用户: FIREFLY\Y8219
用户类型: 活动用户
应用程序名称: avp.exe
应用程序路径: C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.22
组件: 文件反病毒
结果描述: 检测到
类型: 木马
名称: Trojan.Win32.Fsysna.kchy
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: SuperBootFix.exe
对象路径: E:\迅雷下载\SuperBootFix2025
对象的 MD5: AEC4A1FFB898367E606B4DB3D85898CC
原因: 数据库
数据库发布日期: 今天，2025/10/9 15:21:00

op上也有主防触发记录 Online Virus Scanner — Kaspersky Threat Intelligence Portal — Report — F7C47936EBA10E8BDBB24A1875027A8E567D40288959C055...奇安信天穹沙箱显示他们也拉黑了这个文件云查结果是黑样本:天穹 动态分析沙箱 | 分析报告

扬帆起航

ulyanov2233 发表于 2025-10-9 21:20
卡巴是扫描是直接入库了，他们人工应该看过了
op上也有主防触发记录 Online Virus Scanner — Kaspersky ...

好的，再等等。

PS：天穹那边的结果似乎还在生成？

ulyanov2233

扬帆起航 发表于 2025-10-9 21:45
好的，再等等。

PS：天穹那边的结果似乎还在生成？

天穹那个拓线报告不太准，我上次复制内容被说是一眼ai，漏洞百出，是否做出判罚还是等论坛里大佬来看看这玩意是什么东西能红五十多个

123456aaaafsdeg

扬帆起航 发表于 2025-10-9 21:45
好的，再等等。

PS：天穹那边的结果似乎还在生成？

Anyrun给出Malicious activity
https://app.any.run/tasks/229ee65d-7927-4f5d-993a-9a1a41c98e7a

vt给出的家族
来源：https://www.antiy.cn/observe_download/observe_234.pdf

扬帆起航

123456aaaafsdeg 发表于 2025-10-9 22:39
Anyrun给出Malicious activity
https://app.any.run/tasks/229ee65d-7927-4f5d-993a-9a1a41c98e7a

或许是某些敏感操作被识别到了？

@QVM360 FYI 毒组现在有资源帮忙分析一下这个样本吗？

chenjiarong

金山毒霸[2025-10-09 23:15:21] 威胁：c:\users\administrator\desktop\新建文件夹\superbootfix1\superbootfix1.exe/<a:7zipsfx>/superbootfix1/<a:7z>/loadfile.exe 类型：malware.kb.a.872 处理方式：需要处理  [2025-10-09 23:15:21] 威胁：c:\users\administrator\desktop\新建文件夹\superbootfix1\superbootfix1.exe/<a:7zipsfx>/superbootfix1/<a:7z>/progress.exe 类型：malware.kb.a.754 处理方式：需要处理  [2025-10-09 23:15:21] 威胁：c:\users\administrator\desktop\新建文件夹\superbootfix1\superbootfix1.exe/<a:7zipsfx>/superbootfix1/<a:7z>/superbootfix32.exe 类型：malware.kb.a.987 处理方式：需要处理