未知Spyware #FakeAPP 1X

显示全部楼层 · 发表于 2025-10-19 11:55:59

外连和其他行为来自：rundll32.exe C:\Users\[用户名]\AppData\Roaming\Embarcadero\AutoRecoverDat.dll,DllRegisterServer
Shellcode在：C:\Users\[用户名]\AppData\Local\Profiler.json
环境检测似乎只检测了360：findstr /I "360[Tt]ray\.exe"
没看出来是什么家族，但是可以大概从行为推断这是个Spyware/RAT，欢迎大手子指正

下载：
https://www.lanzoum.com/TS-251019-01
https://www.lanzouv.com/TS-251019-01

VT：
https://www.virustotal.com/gui/f ... 801105955/detection

处扫15（BD全家桶把数字拉高了一大截）

MD：
https://metadefender.com/results ... 0RU9mSHdOVXNY_mdaas

处扫1

文件太大没有MB和Neiki

C&C：

复制代码

SentinelOne：
扫描MISS 未双击

显示全部楼层 · 发表于 2025-10-19 11:59:29

本帖最后由 tony099 于 2025-10-19 12:23 编辑

卡巴斯基双击kill 删除多个文件+回滚
安装到一半终止进程（

显示全部楼层 · 发表于 2025-10-19 12:05:09

本帖最后由 aboringman 于 2025-10-19 12:53 编辑

ESET：

？？？？？？

2025/10/19 12:01:43;C:\Users\123aaa\AppData\Roaming\Embarcadero\AutoRecoverDat.dll;3.3 MB;Win64/Packed.Enigma.CE 特洛伊木马的变量;1; F9C895C9DB13B38C840B8A1EADF0F9E8B8B48270
2025/10/19 12:01:42;C:\Users\123aaa\AppData\Roaming\Embarcadero\GPUCache2.xml;83.0 kB;Win32/ShellCode.AA 特洛伊木马;1; E4BC0DD1A3AD01C99C61F0510BD136F412804B9F
2025/10/19 12:01:40;C:\Users\123aaa\AppData\Local\Verifier.exe;3.0 MB;ML/Augur 潜在的不受欢迎应用程序;1; B50F7248A314FEC5BF914A565BF12753B9694E4E
2025/10/19 12:01:37;C:\Users\123aaa\AppData\Roaming\GPUCache.xml;205.0 kB;Win32/ShellCode.AA 特洛伊木马;1; 333DD0473CCE04020EF0001512E7D07787AC7377
2025/10/19 12:01:37;C:\Users\123aaa\AppData\Roaming\Embarcadero\GPUCache.xml;205.0 kB;Win32/ShellCode.AA 特洛伊木马;1; 333DD0473CCE04020EF0001512E7D07787AC7377
2025/10/19 12:01:37;C:\Users\123aaa\AppData\Roaming\GPUCache2.xml;83.0 kB;Win32/ShellCode.AA 特洛伊木马;1; E4BC0DD1A3AD01C99C61F0510BD136F412804B9F
2025/10/19 12:01:21;C:\Users\123aaa\AppData\Local\Profiler.json;107.0 kB;Win32/ShellCode.AA 特洛伊木马;1; CE27F0123FAEC4CD0B9A01DBF160BC387C8B8757

复制代码

显示全部楼层 · 发表于 2025-10-19 12:05:33

本帖最后由莒县小哥于 2025-10-19 14:33 编辑

显示全部楼层 · 发表于 2025-10-19 12:12:12

aboringman 发表于 2025-10-19 12:05
ESET：

？？？？？？

那个Verifier.exe上面有个假的鲁大师签名
Augur关联的检测是Win32/Ludashi.A

显示全部楼层 · 发表于 2025-10-19 12:13:04

360安全套装、冰盾高敏感度、avast扫描均miss，没敢测双击（没有虚拟机）

显示全部楼层 · 发表于 2025-10-19 12:13:15

360下载保护未知

显示全部楼层 · 发表于 2025-10-19 12:14:06

火绒解压杀

显示全部楼层 · 发表于 2025-10-19 12:32:38

BDTS 扫描 kill 双击ATD kill

显示全部楼层 · 发表于 2025-10-19 12:33:07

cortex 双击杀

[病毒样本] 未知Spyware #FakeAPP 1X