恶意软件1X+银狐2X

ジ蓅暒划过づ

• VT首发5个报毒VirusTotal - File - e6b166492a18be27c520223716fa80330b611762822db3c6980b8350394bdcd3（过卡巴ESET扫描，KSN未知）
• 后两个银狐VT首发5个报毒VirusTotal - File - c8e902a779f770d1120aa5b5653bb32511789190cf743936d6197ce75cb726ff
• VT首发6个报毒VirusTotal - File - 43d09817653a325ca873a3e9c628db88c790de137b7b84804a20ce75ddae04d0
• 样本：4444.zip - 蓝奏云
• 样本：5555.zip - 蓝奏云
• 样本：7777.zip - 蓝奏云
  

Curve25519

沙盘中测试，ESET Smart Security Premium 解压 kill 555555.exe、777777.exe，444444.msi 双击触发 LiveGuard 分析，miss，沙盘中运行、安装也 miss

2025/12/11 22:15:00;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\5555\5555\555555.exe;Win32/TrojanDropper.Agent.TAN 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;B626E3C7E3E5F14B211CC53FF573C157EFB493BD;;S-1-5-21-1216372390-1976424117-2270819850-1001;

2025/12/11 22:15:35;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\7777\7777\777777.exe;Win32/TrojanDropper.Agent.TCR 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;54EE1CE3608506CDAB241121A727D6A7AB3E9A0A;;S-1-5-21-1216372390-1976424117-2270819850-1001;

2025/12/11 22:16:20;ESET 内核;ESET LiveGuard 正在分析文件，以确保其可安全使用。我们会在几分钟后给您发送通知。取消阻止文件(不建议)更改设置;DESKTOP-K07940I\Admin
2025/12/11 22:18:52;ESET 内核;文件“444444.msi”已发送到 ESET Virus Lab 以供分析。;SYSTEM
2025/12/11 22:22:04;ESET 内核;ESET LiveGuard 已完成分析文件。可以安全使用。;DESKTOP-K07940I\Admin

LSPD

MD miss all
4444 MDSS给了个提示
5555，7777被添加排除项
我看MD就是摆设

asdfnbbj

360扫描两个

UNknownOoo

火绒
扫描：1x

1. 病毒名称：Trojan/FakeApp.bk
   
2. 病毒ID：8D1C5129FEA88182
   
3. 病毒路径：C:\Users\UnknownOoo\Desktop\777777.exe
   
4. 操作类型：修改
   
5. 操作结果：已处理，删除文件
   

复制代码

运行：
444444.msi -> 未阻断威胁

1. 防护项目：系统任务目录
   
2. 目标文件：C:\Windows\System32\Tasks\UserTask
   
3. 操作结果：已允许
   
4. 进程ID：5452
   
5. 操作进程：C:\Users\UnknownOoo\693adadd_22c4\plu239sso.exe
   

复制代码

1. 防护项目：启动项
   
2. 操作类型：修改
   
3. 数据内容：C:\Users\UnknownOoo\AppData\Roaming\PLUosxj_w273\DUbit.exe
   
4. 目标注册表：HKEY_USERS\S-1-5-21-1299670476-2547804368-247796956-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\uwo
   
5. 操作结果：已允许
   

复制代码

1. 防护项目：利用系统进程启动恶意程序
   
2. 操作结果：已阻止
   
3. 进程ID：6360
   
4. 操作进程：C:\Windows\System32\VSSVC.exe
   
5. 操作进程命令行：C:\windows\system32\vssvc.exe
   
6. 父进程ID：5452
   
7. 父进程：C:\Users\UnknownOoo\693adadd_22c4\plu239sso.exe
   

复制代码

555555.exe -> 未阻断威胁

1. 防护项目：服务/驱动配置项
   
2. 操作类型：修改
   
3. 数据内容：cmd /c cd /d "C:\Users\UnknownOoo\AppData\Local\draft\iXNTvJi" && start "" "C:\Users\UnknownOoo\AppData\Local\draft\iXNTvJi\EZ
   
4. 目标注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\OPicDU\ImagePath
   
5. 操作结果：已允许
   
6. 进程ID：1304
   
7. 操作进程：C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.75\elevation_service.exe
   
8. 操作进程命令行："C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.75\elevation_service.exe"
   
9. 父进程ID：932
   
10. 父进程：C:\Windows\System32\services.exe
    
11. 父进程命令行：C:\Windows\system32\services.exe

复制代码

驭龙

LSPD 发表于 2025-12-11 22:32
MD miss all
4444 MDSS给了个提示
5555，7777被添加排除项

说真的，PS命令添加排除就让MD废掉的这件事，真的是让我挺无语的，国产三线产品都不会用这种低级问题

啊松

卡巴斯基扫描miss


444双击pdm加回滚






555熟悉的配方，卡巴必被过




777双击pdm加回滚

ジ蓅暒划过づ

啊松 发表于 2025-12-11 23:12
卡巴斯基扫描miss

熟悉的配方？

superLYT

EEA

啊松

ジ蓅暒划过づ 发表于 2025-12-11 23:23
熟悉的配方？

就是卡巴斯基防不了的。利用edge注入的那种方式。每次都miss