电报上的汉化文件，vt2

superLYT

AMD_Ryzen 发表于 2025-11-13 16:01
是的，我一开始还以为BEST miss了，看了你发的沙箱分析以后，才发现有长睡眠和反虚拟机，我装BEST的虚拟 ...

怪不得，我虚拟机里面的BDTSmiss了。原来有虚拟机检测

fsecure01

FSP 扫描miss

1. 结果
   
2. 未发现有害项目
   
3. 已扫描项目：2
   
4. 版本信息
   
5. 扫描引擎：
   
6. Core: 2.0.3.42
   
7. Detection: 8.4.0.28 (2025-11-10)
   
8. EPP: 1.0.2510.6851
   
9. ODS: 1.0.2510.2983
   
10. Quarantine: 1.0.2510.2037
    
11. Remediation: 1.0.2510.2697
    
12. VDF: 8.20.66.254 (2025-11-13)

复制代码

UNknownOoo

火绒
运行:拦截外联

1. 风险分类：木马盗号
   
2. 访问网址：wy29d68v.com
   
3. 操作结果：已阻止
   
4. 
   
5. 进程ID：13920
   
6. 操作进程：C:\Users\UnknownOoo\Desktop\点击安装简体中文语言包.exe
   
7. 操作进程命令行："C:\Users\UnknownOoo\Desktop\点击安装简体中文语言包.exe"

复制代码

AMD_Ryzen

superLYT 发表于 2025-11-13 17:41
怪不得，我虚拟机里面的BDTSmiss了。原来有虚拟机检测

我后来又复测了一次，最终倒还是触发ATD了，但是等的时间比第一次还久而且中间又双击了两下，所以我也不确定ATD有没有拦截全部恶意行为，还是上报下吧

一成不变

AMD_Ryzen 发表于 2025-11-13 16:01
是的，我一开始还以为BEST miss了，看了你发的沙箱分析以后，才发现有长睡眠和反虚拟机，我装BEST的虚拟 ...

对，安恒云沙箱检出了关键词vmware，和长睡眠行为，现在卡巴已经拉黑了

LeeHS

cortex miss

心醉咖啡

360

Curve25519

ESET Smart Security Premium 解压 miss、沙盘中双击触发 LiveGuard 分析，miss，扫描 miss

2025/11/14 9:11:55;FEBA79193EBAA8AD8B730D99FD4B2B5987A8B5A7;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\点击安装简体中文语言包\点击安装简体中文语言包.exe;2050560;可执行文件;自动;ESET LiveGuard;DESKTOP-K07940I\Admin;S-1-5-21-1216372390-1976424117-2270819850-1001;

2025/11/14 9:11:56;ESET 内核;ESET LiveGuard 正在分析文件，以确保其可安全使用。我们会在几分钟后给您发送通知。取消阻止文件(不建议)更改设置;NT AUTHORITY\ANONYMOUS LOGON
2025/11/14 9:11:58;ESET 内核;ESET LiveGuard 已完成分析文件。可以安全使用。;NT AUTHORITY\ANONYMOUS LOGON

扫描日志
检测引擎的版本: 32189 (20251113)
日期: 2025/11/14  时间: 9:13:16
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\DefaultBox\drive\W\点击安装简体中文语言包\点击安装简体中文语言包.exe
用户: DESKTOP-K07940I\Admin
已扫描的对象数: 2
检测数: 0
完成时间: 9:13:16  总扫描时间: 0 秒 (00:00:00)

aikafans

Curve25519 发表于 2025-11-14 09:14
ESET Smart Security Premium 解压 miss、沙盘中双击触发 LiveGuard 分析，miss，扫描 miss

2025/11/14  ...

LiveGuard 有时候一言难尽

aboringman

ESET：miss

运行一段时间后，触发网页防护

1. 2025/11/14 9:27:18;[img]http://wy29d68v.com/3/lonn.bmp[/img];阻止的 URL;网络钓鱼防护黑名单;C:\Users\123aaa\Desktop\点击安装简体中文语言包\点击安装简体中文语言包.exe;104.21.91.155;FEBA79193EBAA8AD8B730D99FD4B2B5987A8B5A7

复制代码

---

关闭网页防护后放行，ESET全程没有反应，手动扫描才发现内存中存在威胁，但是已经太晚了

1. 系统内存 > wkspbroker.exe(6516) - Win64/Spy.Agent.JO 特洛伊木马 的变量 - 已包含被感染的文件 (下次重新启动后) [2]
   
2. 系统内存 > wkspbroker.exe(6516) - Win64/Spy.Agent.JO 特洛伊木马 的变量 - 已包含被感染的文件 (下次重新启动后) [2]

复制代码