疑似可疑购物程序

显示全部楼层 · 发表于 3 小时前

显示全部楼层 · 发表于 3 小时前

VT：https://www.virustotal.com/gui/f ... Dg6MTc2NjM3ODcyNw==

红伞 miss
华为 miss
瑞星 miss
SEP miss

显示全部楼层 · 发表于 2 小时前

在疯狂创建文件夹？opentip.kaspersky绿

显示全部楼层 · 发表于 1 小时前

火绒 0

显示全部楼层 · 发表于半小时前

双击

显示全部楼层 · 发表于半小时前

本帖最后由飞翔的蒲公英于 2025-12-22 16:00 编辑

丢安天MAE样本分析工具中：

文件头识别：
- 日志开头显示 4D 5A，这是Windows可执行文件（PE文件）的标准签名，表明该文件是一个可执行程序。
可疑字节序列：
- 多处出现重复的字节序列，如 \xCC\xCC\xCC\xCC、\xFF\xFF\xFF\xFF 等，这通常用于填充或混淆代码，常见于恶意软件试图隐藏其真实意图。
- 出现了大量无意义的字节，如 \x0E\x0E\x0E\x0E、\x01\x01\x01\x01 等，这些可能是用于干扰静态分析的垃圾数据。
字符串与资源引用：
- 日志中包含一些字符串，如 "LocalFree", "cAddress", "error" 等，这些可能涉及系统API调用，用于执行特定操作。
- 存在对注册表的操作，如 \\x00r\\x00e\\x00g\\x00，表明该恶意软件可能试图修改注册表项以实现持久化或隐蔽自身。
异常指令模式：
- 多处出现异常的汇编指令模式，例如大量的 PUSH 操作（"PPPP"）、CALL 调用等，这可能用于执行代码注入、代码混淆或绕过安全检测机制。
已知恶意软件特征：
- 最终生成的结果为 Trojan.Win32.BlackBand，这是一种已知的木马程序，具有多种恶意行为，包括但不限于：
  - 远程访问：允许攻击者远程控制受感染的计算机。
  - 信息窃取：收集敏感信息，如密码、银行账户等。
  - 自我保护：通过修改注册表或使用其他技术手段隐藏自身，防止被卸载或清除。

安恒沙箱：https://sandbox.dbappsecurity.co ... c-b6ac-013786294b75

深信服沙箱：https://ti.sangfor.com.cn/sandbo ... 10_64&sandboxType=c

奇安信沙箱：https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AZtFDw_6SZq0HOVf4GbQ

[可疑文件] 疑似可疑购物程序