样本 3X

wwwab

https://pan.huang1111.cn/s/Wzgxof3

z80405789

只处理了一个

aboringman

ESET：2

1. 2025/10/17 22:47:12;C:\Users\123aaa\Desktop\infected2025101701\h 2025-年 第 三 季 度 违 规 内 职 人 员 名 单 信 息dsajdiewkaokfoewijfjiwrfdsdiasnduqwjdisjajdnuwqdsa (3).exe_;144.1 kB;Win64/HackTool.UACMe.AC 特洛伊木马 的变量;1;644D8B801AA352D34D11974AABF9D101873B0552
   
2. 
   
3. 2025/10/17 22:47:12;C:\Users\123aaa\Desktop\infected2025101701\喜马拉雅平台恶意用户违规内容举报证据(截图+录屏)_2025-10-16.exe_;9.6 MB;WinGo/Agent.YT 特洛伊木马 的变量;1;EF5969E456A9A5CEACC5FC20771A9F88538BB0C6

复制代码

剩下一个触发僵尸网络防护，之后程序自退

1. 2025/10/17 22:48:10;已检测到可疑的僵尸网络;已阻止;192.168.116.128:64647;47.101.187.187:9443;TCP;Botnet.CnC.Generic.B;C:\Users\123aaa\Desktop\infected2025101701\视频录制_record_20251017_1012.scr;视频录制_record_20251017_1012.scr;96F9407DD599E631C9889F440B0F853143505932

复制代码

---

KIS：2



剩下一个运行之后一段时间无反应，手动扫描检测到内存中有异常（处理方式为终止目标）

1. 事件: 检测到恶意对象
   
2. 组件: 病毒扫描
   
3. 结果: 检测到
   
4. 结果描述: 检测到
   
5. 类型: 木马
   
6. 名称: MEM:Trojan.Win32.Cometer.gen
   
7. 精确度: 确切
   
8. 威胁级别: 高
   
9. 对象类型: 文件
   
10. 对象名称: 视频录制_record_20251017_1012.scr
    
11. 对象路径: pmem:\C:\Users\123aaa\Desktop\infected2025101701
    
12. 原因: 专家分析
    
13. 数据库发布日期: 今天，2025/10/17 下午10:26:00

复制代码

---

360：2



剩下一个长时间没有任何反应

---

火绒：

1. 病毒名称：Backdoor/CobaltStrike.l
   
2. 病毒ID：7E662B652271E28F
   
3. 虚拟地址：0x0000000002DC0000
   
4. 映像大小：4.0KB
   
5. 是否完整映像：否
   
6. 数据流哈希：3951dacc
   
7. 操作结果：处理成功，进程已结束
   
8. 进程ID：7172
   
9. 操作进程：C:\Users\123aaa\Desktop\infected2025101701\视频录制_record_20251017_1012.scr
   
10. 操作进程命令行："C:\Users\123aaa\Desktop\infected2025101701\视频录制_record_20251017_1012.scr" /S
    
11. 父进程ID：4200
    
12. 父进程：C:\Windows\explorer.exe
    
13. 父进程命令行：C:\Windows\Explorer.EXE

复制代码

1. 病毒名称：Trojan/BypassUAC.B
   
2. 病毒路径：C:\Users\123aaa\Desktop\infected2025101701\h 2025-年 第 三 季 度 违 规 内 职 人 员 名 单 信 息dsajdiewkaokfoewijfjiwrfdsdiasnduqwjdisjajdnuwqdsa (3).exe
   
3. 操作结果：已处理，删除文件
   
4. 
   
5. 进程ID：10544
   
6. 操作进程命令行："C:\Users\123aaa\Desktop\infected2025101701\h 2025-年 第 三 季 度 违 规 内 职 人 员 名 单 信 息dsajdiewkaokfoewijfjiwrfdsdiasnduqwjdisjajdnuwqdsa (3).exe"
   
7. 父进程ID：4200
   
8. 父进程：C:\Windows\explorer.exe
   
9. 父进程命令行：C:\Windows\Explorer.EXE

复制代码

Rukia

aboringman 发表于 2025-10-17 22:50
ESET：2

TCP;Botnet.CnC.Generic.B

哇，这还真少见，如果是捕捉到了流量特征。

Shake2333

McAfee扫描1X

请叫我德玛西亚

奇安信天擎扫描Kill  2X，剩下1x双击miss

驭龙

Rukia 发表于 2025-10-17 22:58
TCP;Botnet.CnC.Generic.B

哇，这还真少见，如果是捕捉到了流量特征。

我一直在强调，ESET的NAP是仅次于旧Norton IPS的存在，虽然比不上IPS，但是已经没有比它更适合的IPS下位替代了，然而很多人都忽略了它的存在，想当年想哭就是被EIS的NAP拦住了，然而一直有人说EAV足矣，EIS只是有个防火墙

lingchenheiye

火绒解压后删除一个，剩下的两个在启发式扫描下未检测出

微微的笑

lingchenheiye 发表于 2025-10-17 23:19
火绒解压后删除一个，剩下的两个在启发式扫描下未检测出

样本：第三季度违规，双击无反应，查看日志：

1. 风险分类：木马盗号
   
2. 访问网址：dowiehksjvuen.cn
   
3. 操作结果：已阻止
   
4. 
   
5. 进程ID：4668
   
6. 操作进程：C:\Windows\System32\svchost.exe
   
7. 操作进程命令行：C:\Windows\system32\svchost.exe -k netsvcs -p

复制代码

然后样本消失，隔离区未找到文件。
样本：视频录制，双击触发内存防护

微微的笑

解压x1，扫描x1，剩下双击触发cc，但看起来很安全