样本 4/5X

wwwab

下载: https://pan.huang1111.cn/s/xbqqWUV

asdfnbbj

360扫描两个

XiaoLong2333

卡巴斯基留4个，未双击

aboringman

ESET：1

1. 2025/12/14 0:46:11;C:\Users\123aaa\Desktop\infected2025121301\1.exe_;12.7 MB;Win32/Kryptik.HZBU 特洛伊木马 的变量;1;D968977DFACBD9529D39FF35DC9399A28AC1E3E3

复制代码

---

区政府办公室关于印发“人才聚溧”促进高校毕业生高质量充分就业三年行动计划（2025—2027）的通知.docx.exe：

1. 2025/12/14 0:47:34;高级内存扫描程序;文件;系统内存 > 区政府办公室关于印发“人才聚溧”促进高校毕业生高质量充分就业三年行动计划（2025—2027）的通知.docx.exe(9684);Win64/Rozena.AZ 特洛伊木马;已包含被感染的文件;8D1D78A584DBF078E8A354931456679AFDD939C0

复制代码

007.exe/jyxh：ESET全程无反应，防御失败

1. 129.226.194.93

复制代码

install.exe：（







杀1衍生物

1. 2025/12/14 1:05:43;文件系统实时防护;文件;C:\ProgramData\192a8bf5_8583_47fa_b304_a51ab920283c\is-ZEQLIYX8TA.tmp;Win64/GenKryptik_AGen.BFV 特洛伊木马 的变量;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Users\123aaa\AppData\Local\Temp\is-Q3IL8PSSHM.tmp\RRVm.tmp (C89BB810433DBD20C8AFDD666FE597ABFDE0190E).;E18645204DE9CCAAE478B08D33F9D053098FB564;2025/12/14 1:05:33

复制代码

jxfaiu

解压秒3


双击

AMD_Ryzen

BEST 云拉黑1x，双击杀剩下全部

xjwtzq

奇安信007改名双击kill，miss  1exe    ，

22222221

F-secure protection kill all                           如下install.exe

docx



1.exe


007

tony099

esu 扫描 1x

UNknownOoo

火绒
扫描：MISS ALL
运行：
1.exe -> 未检出

1. 防护项目：系统任务目录
   
2. 目标文件：C:\Windows\System32\Tasks\BgTaskRegistrationMaintenanceTask139.4.2556.56{C89BE210_A8B9_4840_B797_0B9F6AAAC3C1}
   
3. 操作结果：已阻止
   

复制代码

007.exe -> 未阻断威胁，系统进程被注入

1. 防护项目：服务/驱动配置项
   
2. 操作类型：修改
   
3. 数据内容：cmd /c cd /d "C:\Users\UNKNOW~1\AppData\Local\Temp\is-S831G.tmp\.." && start "" "C:\Users\UNKNOW~1\AppData\Local\Temp\jyxh.exe
   
4. 目标注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\eRVBAzXs\ImagePath
   
5. 操作结果：已允许
   

复制代码

1. 风险分类：木马盗号
   
2. 访问网址：pd2.f43cba6.com
   
3. 操作结果：已阻止
   
4. 
   
5. 进程ID：5620
   
6. 操作进程：C:\Windows\System32\sihost.exe
   
7. 操作进程命令行：sihost.exe

复制代码

install.exe -> 手动内存扫描检出

1. 扫描类型：自定义扫描
   
2. 总计用时：00:00:06
   
3. 扫描对象：3118
   
4. 扫描文件：1442
   
5. 发现风险：1
   
6. 已处理风险：1
   
7. 病毒详情：
   
8. 风险路径：mem://5196-0x5e59ad27-0x2bb0000-C:\Windows\System32\regsvr32.exe, 病毒名：Trojan/ShellLoader.yj, 病毒ID：627766ea456d1643, 处理结果：处理成功，进程已结束
   

复制代码

白加黑绕过规则添加服务实现持久化？



区政府办公室关于印发“人才聚溧”促进高校毕业生高质量充分就业三年行动计划（2025—2027）的通知.docx.exe

1. 防护项目：文档扩展名欺骗
   
2. 可疑文件：C:\Users\UnknownOoo\Desktop\区政府办公室关于印发“人才聚溧”促进高校毕业生高质量充分就业三年行动计划（2025—2027）的通知.docx.exe
   
3. 执行命令行："C:\Users\UnknownOoo\Desktop\区政府办公室关于印发“人才聚溧”促进高校毕业生高质量充分就业三年行动计划（2025—2027）的通知.docx.exe"
   
4. 操作结果：已阻止
   

复制代码

修改文件名后内存防护捉

1. 病毒名称：Backdoor/CobaltStrike.l
   
2. 病毒ID：7E662B652271E28F
   
3. 虚拟地址：0x0000000014B20000
   
4. 映像大小：4.0KB
   
5. 是否完整映像：否
   
6. 数据流哈希：df948287
   
7. 操作结果：处理成功，进程已结束
   
8. 进程ID：3088
   
9. 操作进程：C:\Users\UnknownOoo\Desktop\区政府办公室关于印发“人才聚溧”促进高校毕业生高质量充分就业三年行动计划（2025—2027）的通知.exe
   
10. 操作进程命令行："C:\Users\UnknownOoo\Desktop\区政府办公室关于印发“人才聚溧”促进高校毕业生高质量充分就业三年行动计划（2025—2027）的通知.exe"
    
11. 父进程ID：6280
    
12. 父进程：C:\Windows\explorer.exe
    
13. 父进程命令行：C:\Windows\Explorer.EXE

复制代码