从中毒机器上提取的样本若干

wwwab

下载: https://pan.huang1111.cn/s/MNblNTx

小猛蚁

kes 解压秒杀大量样本，解压后的文件夹再扫描为扫出

啊松

卡巴排除掉vt报毒不多的，和重复的，还有白文件。实际剩余4个

ulyanov2233

essp 17x 报毒名：Win64/ShellcodeRunner.AOQ 特洛伊木马 的变量 Win64/Agent.HSG 特洛伊木马 的变量elg触发了

2025/12/9 22:19:01;ESET LiveGuard;文件;C:\Users\Y8219\Downloads\infected2025120901\mal\SsHvdKx\10.exe;ESET LiveGuard 特洛伊木马;无法清除;FIREFLY\Y8219;;6CDE8EE7ABBBE4D28DD9712BB0FDBA7A1EBBA858;2025/12/9 22:15:01;S-1-5-21-2075981102-1163452476-1703001663-1001;

2025/12/9 22:20:49;ESET LiveGuard;文件;C:\Users\Y8219\Downloads\infected2025120901\mal\SsHvdKx\8.exe;ESET LiveGuard 特洛伊木马;无法清除;FIREFLY\Y8219;;FCD1A6BF67060E2763EDDE136328D62C10AD0EC7;2025/12/9 22:15:01;S-1-5-21-2075981102-1163452476-1703001663-1001;

xjwtzq

奇安信解压kill  15，拦截12个程序内存攻击，拦截1次非法下载

Curve25519

ESET Smart Security Premium

---

“c”文件夹解压 kill 6x：

2025/12/9 23:08:29;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025120901\mal\c\53nCNeftEizhlpOP\app.exe;Win64/ShellcodeRunner.AOQ 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;E71AE85AB0A265D72C904AC484FC8C02CE91DA06;2025/12/9 23:08:27;S-1-5-21-1216372390-1976424117-2270819850-1001;
2025/12/9 23:08:29;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025120901\mal\c\gTV5U5lFmFhvDRiM\鷿©;Win64/ShellcodeRunner.AOQ 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;3AB3ACFA45E17AC8A7F35C4AB5A0A6C950F4DCB7;2025/12/9 23:08:27;S-1-5-21-1216372390-1976424117-2270819850-1001;
2025/12/9 23:08:29;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025120901\mal\c\a1GABcAXNqXiJ3iY\﵏­;Win64/ShellcodeRunner.AOQ 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;3AB3ACFA45E17AC8A7F35C4AB5A0A6C950F4DCB7;2025/12/9 23:08:27;S-1-5-21-1216372390-1976424117-2270819850-1001;
2025/12/9 23:08:30;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025120901\mal\c\MZ7C0DaLfwQBFDdF\��ᙿ˜;Win64/ShellcodeRunner.AOQ 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;E71AE85AB0A265D72C904AC484FC8C02CE91DA06;2025/12/9 23:08:27;S-1-5-21-1216372390-1976424117-2270819850-1001;
2025/12/9 23:08:30;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025120901\mal\c\62mBuJXihLAgyQXX\���O;Win64/ShellcodeRunner.AOQ 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;E71AE85AB0A265D72C904AC484FC8C02CE91DA06;2025/12/9 23:08:27;S-1-5-21-1216372390-1976424117-2270819850-1001;
2025/12/9 23:08:30;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025120901\mal\c\TFOxyGrpaKEwwin9\app.exe;Win64/ShellcodeRunner.AOQ 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;E71AE85AB0A265D72C904AC484FC8C02CE91DA06;2025/12/9 23:08:27;S-1-5-21-1216372390-1976424117-2270819850-1001;

---

“emkuoo”文件夹解压 kill 1x

2025/12/9 23:08:30;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025120901\mal\emkuoo\bdservicehost.exe;Win64/ShellcodeRunner.AOQ 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;E71AE85AB0A265D72C904AC484FC8C02CE91DA06;2025/12/9 23:08:27;S-1-5-21-1216372390-1976424117-2270819850-1001;

---

“SsHvdKx”文件夹解压 kill 8x，6.exe、7.exe 双击各 kill 1衍生物，aasfdf.exe 提示找不到 libcef.dll，但此文件具有网易的有效数字签名，应该是白加黑，axccnz.exe 则是腾讯的有效数字签名，应该也是白加黑，其余文件 ESET LiveGrid 信誉良好

2025/12/9 23:08:31;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025120901\mal\SsHvdKx\HHHG.exe;Win32/Packed.BlackMoon.C 可疑应用程序 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;A65410FEC78A29CA96F077592F3B5DF3588622C3;2025/12/9 23:08:27;S-1-5-21-1216372390-1976424117-2270819850-1001;
2025/12/9 23:08:32;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025120901\mal\SsHvdKx\libcef.dll;Win64/Agent.HSG 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;B0B30052EC4CCFAC523C2CCD2EC55ED02F119D4C;2025/12/4 15:43:46;S-1-5-21-1216372390-1976424117-2270819850-1001;
2025/12/9 23:08:35;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025120901\mal\SsHvdKx\ve5btnnt55.exe;Win64/ShellcodeRunner.AOQ 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;1EF9E675D4EE771905BD9B57733A94E2AB68AF2B;;S-1-5-21-1216372390-1976424117-2270819850-1001;
2025/12/9 23:08:35;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025120901\mal\SsHvdKx\wefggvgbdn5.exe;Win64/ShellcodeRunner.AOQ 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;0EEDE459BCBFC021135F388F230894AB8A19D2D0;;S-1-5-21-1216372390-1976424117-2270819850-1001;
2025/12/9 23:08:35;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025120901\mal\SsHvdKx\5htnrgn5bgrn.exe;Win64/ShellcodeRunner.AOQ 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;04A59695A5888AA460B84AA50675F50B81F52A4F;;S-1-5-21-1216372390-1976424117-2270819850-1001;
2025/12/9 23:08:39;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025120901\mal\SsHvdKx\libOpenglRender.dll;Win32/FlyStudio.Injector.D 潜在的不受欢迎应用程序 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;E144072F1FD3C1E6B2FED50274EAA10A741ECE8A;2025/12/9 23:08:27;S-1-5-21-1216372390-1976424117-2270819850-1001;
2025/12/9 23:09:35;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025120901\mal\SsHvdKx\10.exe;ESET LiveGuard 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;尝试通过应用程序访问文件时发生事件: C:\Windows\explorer.exe (C69D9E670DDFD3125A2422B887D0EA2BABF466F3).;6CDE8EE7ABBBE4D28DD9712BB0FDBA7A1EBBA858;2025/12/9 23:08:27;S-1-5-21-1216372390-1976424117-2270819850-1001;
2025/12/9 23:09:35;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025120901\mal\SsHvdKx\8.exe;ESET LiveGuard 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;尝试通过应用程序访问文件时发生事件: C:\Windows\explorer.exe (C69D9E670DDFD3125A2422B887D0EA2BABF466F3).;FCD1A6BF67060E2763EDDE136328D62C10AD0EC7;2025/12/9 23:08:27;S-1-5-21-1216372390-1976424117-2270819850-1001;

6.exe 衍生物
2025/12/9 23:22:32;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\user\all\ZTigbJ7ANGRmq6As\app.exe;Win64/ShellcodeRunner.AOQ 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在新建的文件上发生事件。;E71AE85AB0A265D72C904AC484FC8C02CE91DA06;2025/12/9 23:08:27;S-1-5-21-1216372390-1976424117-2270819850-1001;

7.exe 衍生物
2025/12/9 23:24:50;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\user\all\EHr5JxUyhOfqWIMd\app.exe;Win64/ShellcodeRunner.AOQ 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在新建的文件上发生事件。;E71AE85AB0A265D72C904AC484FC8C02CE91DA06;2025/12/9 23:08:27;S-1-5-21-1216372390-1976424117-2270819850-1001;

SsHvdKx 文件夹下有不少文件似乎是白文件，ESET LiveGrid 信誉良好。

---

“Videos”文件夹解压 kill 3x

2025/12/9 23:08:35;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025120901\mal\Videos\cS4AayLq\libcef.dll;Win64/Agent.HSG 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;B0B30052EC4CCFAC523C2CCD2EC55ED02F119D4C;2025/12/4 15:43:46;S-1-5-21-1216372390-1976424117-2270819850-1001;
2025/12/9 23:08:35;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025120901\mal\Videos\qENO2GFV\libcef.dll;Win64/Agent.HSG 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;B0B30052EC4CCFAC523C2CCD2EC55ED02F119D4C;2025/12/4 15:43:46;S-1-5-21-1216372390-1976424117-2270819850-1001;
2025/12/9 23:08:35;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025120901\mal\Videos\PHQGHUMEAY\libcef.dll;Win64/Agent.HSG 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;B0B30052EC4CCFAC523C2CCD2EC55ED02F119D4C;2025/12/4 15:43:46;S-1-5-21-1216372390-1976424117-2270819850-1001;

---

“持久化”文件夹不报

Norden_Ljus

卡巴斯基标准版 查杀17

wwwab

Curve25519 发表于 2025-12-9 23:11
ESET Smart Security Premium，SsHvdKx 文件夹下有不少文件似乎是白文件，ESET LiveGrid 信誉良好。

SsHvdKx 是病毒文件夹原封提取，有白加黑的，还有一些携带的合法利用组件（eg. 复制出来的cmd.exe），混着一堆黑文件。反正，我没动他的文件夹结构。

superLYT

ESSP

biue

腾讯电脑管家 1X