Backdoor/Injector 1x

显示全部楼层 · 发表于前天 19:04

本帖最后由 22222221 于 2025-12-14 19:05 编辑

jxfaiu 发表于 2025-12-14 18:40
不会断网

可能是wfp断网，你这样看看不出来

显示全部楼层 · 发表于前天 19:22

本帖最后由 hellohere 于 2025-12-14 19:24 编辑

BEST 高级威胁防护阻止了一个恶意进程。进程路径: C:\Users\guo\Downloads\fsC4tQ5H\c2XG6bQUEo.exe. 威胁名称: ATC.SuspiciousBehavior.534DB16611A52397. 连着衍生物一起杀了，DLL也杀了

显示全部楼层 · 发表于前天 20:10

xjwtzq 发表于 2025-12-14 19:01
是不是入库了，我解压杀

Suspicious Object 是云拉黑吧

显示全部楼层 · 发表于前天 20:28

22222221 发表于 2025-12-14 19:04
可能是wfp断网，你这样看看不出来

能看出来就见鬼了，他说沙盒内运行的

显示全部楼层 · 发表于前天 20:58

AVAST双击报错

显示全部楼层 · 发表于前天 21:27

这个跟之前的yiwaiwai的FakeApp是一样的银狐逻辑。
先UAC提权，DireictSyscall注入elevation_service然后再注入svchost，再连接C2

显示全部楼层 · 发表于前天 21:27

22222221 发表于 2025-12-14 19:04
可能是wfp断网，你这样看看不出来

其实挺明显的，右下角能够直接看出来，断网属于是这类恶意软件的常规操作了（

他那个的话是因为在沙盒里跑，受到了各种限制样本跑不开，甚至都报错了。

显示全部楼层 · 发表于前天 22:12

本帖最后由 aikafans 于 2025-12-14 22:15 编辑

hmpa

已截获攻击 Lockdown
'c2XG6bQUEo.exe'已被终止，以防止执行恶意代码。请检查您的计算机，查找恶意软件和软件更新。

显示全部楼层 · 发表于前天 22:40

DeepSeek 发表于 2025-12-14 21:27
这个跟之前的yiwaiwai的FakeApp是一样的银狐逻辑。
先UAC提权，DireictSyscall注入elevation_service然后 ...

啊？它不是DirectSysCall吧？印象里好像是线程池注入来着

不然前面HMPA初见就主防捉了应该（后面Lockdown响应应该是掺了云信誉的主防捉？）

显示全部楼层 · 发表于前天 23:24

UNknownOoo 发表于 2025-12-14 22:40
啊？它不是DirectSysCall吧？印象里好像是线程池注入来着

不然前面HMPA初见就主防捉了应该（后面Lockd ...

试了下

[病毒样本] Backdoor/Injector 1x

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分