疑似误报

显示全部楼层 · 发表于 10 小时前

本帖最后由 dd2006 于 2025-12-24 14:30 编辑

来自软件区的，是因为加壳了才报的吗？

文件下载：https://c.wss.ink/f/is0konrt7hh
https://wwama.lanzouu.com/iH4Jz3edwjhe

VT：https://www.virustotal.com/gui/f ... d73f8c7aad36d3a3b67

微步：https://s.threatbook.com/report/ ... d73f8c7aad36d3a3b67

红伞、华为、瑞星、SEP全报

显示全部楼层 · 发表于 9 小时前

ESET，MD5拉黑

显示全部楼层 · 发表于 8 小时前

火绒不包

显示全部楼层 · 发表于 8 小时前

md静态杀，搞笑的：
{
  "verdict": "malicious",
  "confidence": "high",
  "malware_identity": {
"type": "Overlay Loader / Injector",
"suspected_family": "Generic Trojan / SFX Archive Exploiter",
"reasoning": "基于静态代码分析，发现以下恶意行为链：1) 程序首先创建隐藏窗口并设置定时器进行潜伏（FUN_140003350创建tooltips_class32窗口）。2) 枚举系统特殊文件夹路径进行侦察（FUN_140005f70调用SHGetSpecialFolderPathW）。3) 关键证据：导入表中包含GetModuleFileNameW、CreateFileW、SetFilePointer、ReadFile等API组合，符合Overlay Loader模式。4) 程序使用GetModuleFileNameW获取自身路径，然后通过CreateFileW打开自身文件，使用SetFilePointer移动到文件特定位置，最后通过ReadFile读取数据。5) 高熵值（7.9957）和VirusTotal标签中的'overlay'表明存在附加数据段。6) 导入CreateProcessW和ResumeThread，具备进程注入能力。7) 使用SetWindowsHookExW和GetKeyState，具备键盘记录能力。8) VirusTotal检测率37/72，多个引擎标记为Trojan.GenericKDQ/Kepavll。"
  },
  "summary": "这是一个具有Overlay加载功能的恶意软件，通过读取自身文件末尾的附加加密payload，具备进程注入、键盘记录、系统侦察等能力，伪装为SFX自解压程序。",
  "mitre_matrix": [
{"id": "T1055", "technique": "进程注入", "evidence": "导入CreateProcessW、ResumeThread、VirtualAlloc等API"},
{"id": "T1056", "technique": "输入捕获", "evidence": "导入SetWindowsHookExW、GetKeyState等键盘记录API"},
{"id": "T1082", "technique": "系统信息发现", "evidence": "FUN_140005f70枚举特殊文件夹路径"},
{"id": "T1027", "technique": "混淆文件或信息", "evidence": "高熵值7.9957，存在字符串解码函数FUN_140004cbc"},
{"id": "T1204", "technique": "用户执行", "evidence": "伪装为crack.exe，诱使用户执行"},
{"id": "T1547", "technique": "启动或登录自动启动执行", "evidence": "创建隐藏窗口进行持久化"},
{"id": "T1205", "technique": "端口监视器", "evidence": "使用CreateIoCompletionPort进行I/O完成端口监控"}
  ],
  "virustotal_summary": "VirusTotal检测率37/72，主要引擎检测为：Malwarebytes: Malware.AI.4126125408, BitDefender: QD:Trojan.GenericKDQ.3012D988E5, Microsoft: Trojan:Win32/Kepavll!rfn, ESET-NOD32: Generik.ISNGELJ trojan。标签包含：detect-debug-environment, 64bits, calls-wmi, peexe, overlay。沙箱检测：Dr.Web vxCube标记为malicious。",
  "indicators": [
{"type": "hash", "value": "b47b665bc4045a661c2e2a173812cc5413798ce9699a1d73f8c7aad36d3a3b67"},
{"type": "behavior", "value": "Overlay Loader模式：GetModuleFileNameW -> CreateFileW -> SetFilePointer -> ReadFile"},
{"type": "behavior", "value": "创建隐藏窗口tooltips_class32进行潜伏"},
{"type": "behavior", "value": "枚举系统特殊文件夹路径"},
{"type": "string", "value": "sfx (窗口类名)"},
{"type": "string", "value": "SfxFolder%02d (文件夹枚举格式)"}
  ]
}

显示全部楼层 · 发表于 8 小时前

Emsisoft Anti-Malware Home - 版本 2025.9
最后更新： 2025/12/24 13:24:00
发起者： DESKTOP-GQI9ICE\aaa
电脑名称： DESKTOP-GQI9ICE
操作系统版本： Windows 11x64

扫描设置：

扫描方式：自定义扫描
对象： D:\下载\crack

检测非必要程序(PUPs)：开
扫描存档：开
扫描邮件档案：关
ADS数据流扫描：开

扫描开始： 2025/12/24 14:54:53
D:\下载\crack\crack.exe 发现风险： QD:Trojan.GenericKDQ.3012D988E5 (B) [krnl.xmd]

扫描 1
发现 1
扫描文件... Done!

扫描结束： 2025/12/24 14:54:54
扫描时间： 0:00:01

D:\下载\crack\crack.exe 隔离： QD:Trojan.GenericKDQ.3012D988E5 (B)

隔离： 1

显示全部楼层 · 发表于 6 小时前

沙盘内双击

显示全部楼层 · 发表于半小时前

[可疑文件] 疑似误报

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源