收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 银狐1x
12
返回列表 发新帖
楼主: 22222221
 收起左侧

[病毒样本] 银狐1x

[复制链接]
wwwab
发表于 1 小时前 | 显示全部楼层
火绒
扫描kill dropper
  1. 病毒名称:Trojan/FakeApp.zd
  2. 病毒ID:09544C015182A1AC
  3. 病毒路径:C:\Users\PC\Downloads\Chome-stallerrwin64\Chome-stallerrwin64.exe
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件

  7. 进程ID:1440
  8. 操作进程:C:\Program Files\7-Zip\7zG.exe
  9. 操作进程命令行:"C:\Program Files\7-Zip\7zG.exe" x -o"C:\Users\PC\Downloads\Chome-stallerrwin64" -spe -an -ai#7zMap14050:94:7zEvent3698
  10. 父进程ID:4688
  11. 父进程:C:\Windows\explorer.exe
复制代码

放行后miss,衍生物miss,已上报,正在处理中


冰盾
  1. 冰盾拦截事件:

  3. 行为: 操作文件(新建)
  4. 拦截规则: 内置规则 > 基础防御 > 文件 > 禁止创建桌面快捷方式
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-12-27 14:44:46
  7. 拦截次数: 1
  8. 进程名称: Chome-stallerrwin64.tmp
  9. 进程路径: C:\Users\PC\AppData\Local\Temp\is-92JQJ.tmp\Chome-stallerrwin64.tmp
  10. 进程命令行: "C:\Users\PC\AppData\Local\Temp\is-92JQJ.tmp\Chome-stallerrwin64.tmp" /SL5="$20560,148864379,792576,C:\Users\PC\Downloads\Chome-stallerrwin64\Chome-stallerrwin64.exe" /SPAWNWND=$1503D8 /NOTIFYWND=$B0034
  11. 操作目标: C:\Users\PC\Desktop\谷 歌.lnk
复制代码
  1. 冰盾拦截事件:

  3. 行为: 加载模块
  4. 拦截规则: 内置规则 > 基础防御 > 进程 > 拦截直接系统调用
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-12-27 14:44:58
  7. 拦截次数: 1
  8. 进程名称: ZWMrVTt.exe
  9. 进程路径: C:\ProgramData\serveren\WdsYMG\ZWMrVTt.exe
  10. 进程命令行: "C:\ProgramData\serveren\WdsYMG\ZWMrVTt"
  11. 操作目标: C:\Windows\System32\ntdll.dll
复制代码
  1. 冰盾拦截事件:

  3. 行为: 映射内存到进程
  4. 拦截规则: 内置规则 > 高级防御 > 拦截代码注入
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-12-27 14:45:18
  7. 拦截次数: 1
  8. 进程名称: ZWMrVTt.exe
  9. 进程路径: C:\ProgramData\serveren\WdsYMG\ZWMrVTt.exe
  10. 进程命令行: "C:\ProgramData\serveren\WdsYMG\ZWMrVTt"
  11. 操作目标: C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe
复制代码
  1. 冰盾拦截事件:

  3. 行为: 隐藏文件
  4. 拦截规则: 内置规则 > 基础防御 > 文件 > 禁止隐藏可执行文件
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-12-27 14:45:24
  7. 拦截次数: 1
  8. 进程名称: elevation_service.exe
  9. 进程路径: C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe
  10. 进程命令行: "C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe"
  11. 操作目标: C:\ProgramData\serveren\WdsYMG\jAk.dll
复制代码
  1. 冰盾拦截事件:

  3. 行为: 映射内存到进程
  4. 拦截规则: 内置规则 > 高级防御 > 拦截代码注入
  5. 响应动作: 缓存(允许)
  6. 最后一次拦截时间: 2025-12-27 14:45:24
  7. 拦截次数: 2
  8. 进程名称: elevation_service.exe
  9. 进程路径: C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe
  10. 进程命令行: "C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe"
  11. 操作目标: C:\Windows\System32\svchost.exe
复制代码
  1. 冰盾拦截事件:

  3. 行为: 映射内存到进程
  4. 拦截规则: 内置规则 > 高级防御 > 拦截代码注入
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-12-27 14:45:24
  7. 拦截次数: 1
  8. 进程名称: elevation_service.exe
  9. 进程路径: C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe
  10. 进程命令行: "C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe"
  11. 操作目标: C:\Windows\System32\svchost.exe
复制代码
  1. 冰盾拦截事件:

  3. 行为: 隐藏文件
  4. 拦截规则: 内置规则 > 基础防御 > 文件 > 禁止隐藏可执行文件
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-12-27 14:45:26
  7. 拦截次数: 1
  8. 进程名称: elevation_service.exe
  9. 进程路径: C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe
  10. 进程命令行: "C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe"
  11. 操作目标: C:\ProgramData\serveren\WdsYMG\ZWMrVTt.exe
复制代码
  1. 冰盾拦截事件:

  3. 行为: 创建服务
  4. 拦截规则: 内置规则 > 持久化 > 禁止创建服务
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-12-27 14:45:28
  7. 拦截次数: 1
  8. 进程名称: elevation_service.exe
  9. 进程路径: C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe
  10. 进程命令行: "C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe"
  11. 操作目标: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cYDxmivYG
复制代码
  1. 冰盾拦截事件:

  3. 行为: 修改进程内存
  4. 拦截规则: 内置规则 > 高级防御 > 拦截代码注入
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-12-27 14:45:34
  7. 拦截次数: 1
  8. 进程名称: elevation_service.exe
  9. 进程路径: C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe
  10. 进程命令行: "C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe"
  11. 操作目标: C:\Windows\System32\sihost.exe
复制代码
回复

举报

superLYT
发表于 1 小时前 | 显示全部楼层
BDTS双击kill释放的dll

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-12-27 16:53 , Processed in 0.086711 second(s), 3 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表