收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 疑似伪装eyy的银狐
12下一页
返回列表 发新帖
查看: 745|回复: 14
收起左侧

[病毒样本] 疑似伪装eyy的银狐

[复制链接]
22222221
发表于 昨天 14:19 | 显示全部楼层 |阅读模式
智量:kill

https://pan.huang1111.cn/s/byBvDIY

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +30 魅力 +1 人气 +3 收起 理由
QVM360 + 30 + 1 + 3 版区有你更精彩: )

查看全部评分

回复

举报

啊松
发表于 昨天 14:57 | 显示全部楼层
pdm加回滚



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
dongwenqi + 3 版区有你更精彩: )

查看全部评分

回复

举报

UNknownOoo
发表于 昨天 15:23 | 显示全部楼层
火绒
运行:火绒被摸碎

https://www.virustotal.com/gui/file/03f41826ee5624e938ff9de7b621fc954decdf4b6f8cc266c43706881053c1ba/detection
回复

举报

wwwab
发表于 昨天 15:28 | 显示全部楼层
火绒: 扫描 miss
双击 漏洞驱动致盲 @wowocock

冰盾:
  1. 冰盾拦截事件:

  3. 行为: 设置注册表值
  4. 拦截规则: 内置规则 > 高级防御 > 拦截漏洞驱动利用
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-11-22 22:59:41
  7. 拦截次数: 1
  8. 进程名称: pythonw.exe
  9. 进程路径: C:\Program Files\Fleiong\c0H7obS8\2gEO0K\pythonw.exe
  10. 进程命令行: "C:\Program Files\\Fleiong\c0H7obS8\2gEO0K\pythonw.exe"
  11. 操作目标: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vally3dka
复制代码
  1. 冰盾拦截事件:

  3. 行为: 加载驱动
  4. 拦截规则: 内置规则 > 高级防御 > 拦截漏洞驱动利用
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-11-22 22:59:47
  7. 拦截次数: 1
  8. 进程名称: pythonw.exe
  9. 进程路径: C:\Program Files\Fleiong\c0H7obS8\2gEO0K\pythonw.exe
  10. 进程命令行: "C:\Program Files\\Fleiong\c0H7obS8\2gEO0K\pythonw.exe"
  11. 操作目标: C:\Users\PC\AppData\Local\Temp\vally3dka.sys
复制代码
  1. 冰盾拦截事件:

  3. 行为: 修改进程内存
  4. 拦截规则: 内置规则 > 高级防御 > 拦截代码注入
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-11-22 22:59:53
  7. 拦截次数: 1
  8. 进程名称: pythonw.exe
  9. 进程路径: C:\Program Files\Fleiong\c0H7obS8\2gEO0K\pythonw.exe
  10. 进程命令行: "C:\Program Files\\Fleiong\c0H7obS8\2gEO0K\pythonw.exe"
  11. 操作目标: C:\Windows\System32\svchost.exe
复制代码
  1. 冰盾拦截事件:

  3. 行为: 设置注册表值
  4. 拦截规则: 内置规则 > 高级防御 > 拦截漏洞驱动利用
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-11-22 23:00:07
  7. 拦截次数: 1
  8. 进程名称: svchost.exe
  9. 进程路径: C:\Windows\System32\svchost.exe
  10. 进程命令行: C:\Windows\system32\svchost.exe -k DcomLaunch -p
  11. 操作目标: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vally3dka
复制代码
  1. 冰盾拦截事件:

  3. 行为: 创建服务
  4. 拦截规则: 内置规则 > 持久化 > 禁止创建服务
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-11-22 23:00:13
  7. 拦截次数: 1
  8. 进程名称: pythonw.exe
  9. 进程路径: C:\Program Files\Fleiong\c0H7obS8\2gEO0K\pythonw.exe
  10. 进程命令行: "C:\Program Files\\Fleiong\c0H7obS8\2gEO0K\pythonw.exe"
  11. 操作目标: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MicrosoftSoftware2ShadowCop4yProvider
复制代码
  1. 冰盾拦截事件:

  3. 行为: 加载驱动
  4. 拦截规则: 内置规则 > 高级防御 > 拦截漏洞驱动利用
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-11-22 23:00:25
  7. 拦截次数: 1
  8. 进程名称: svchost.exe
  9. 进程路径: C:\Windows\System32\svchost.exe
  10. 进程命令行: C:\Windows\system32\svchost.exe -k DcomLaunch -p
  11. 操作目标: C:\Windows\Temp\vally3dka.sys
复制代码
  1. 冰盾拦截事件:

  3. 行为: 远程线程注入
  4. 拦截规则: 内置规则 > 高级防御 > 拦截代码注入
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-11-22 23:00:41
  7. 拦截次数: 1
  8. 进程名称: regsvr32.exe
  9. 进程路径: C:\Windows\System32\regsvr32.exe
  10. 进程命令行: regsvr32.exe /S "C:\ProgramData\Roning\goldendays.dll
  11. 操作目标: C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe
复制代码
  1. 冰盾拦截事件:

  3. 行为: 修改进程内存
  4. 拦截规则: 内置规则 > 高级防御 > 拦截代码注入
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-11-22 23:00:41
  7. 拦截次数: 1
  8. 进程名称: regsvr32.exe
  9. 进程路径: C:\Windows\System32\regsvr32.exe
  10. 进程命令行: regsvr32.exe /S "C:\ProgramData\Roning\goldendays.dll
  11. 操作目标: C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe
复制代码
  1. 冰盾拦截事件:

  3. 行为: 远程线程注入
  4. 拦截规则: 内置规则 > 高级防御 > 拦截代码注入
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-11-22 23:00:43
  7. 拦截次数: 1
  8. 进程名称: elevation_service.exe
  9. 进程路径: C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe
  10. 进程命令行: "C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe"
  11. 操作目标: C:\Windows\System32\taskhostw.exe
复制代码
  1. 冰盾拦截事件:

  3. 行为: 映射内存到进程
  4. 拦截规则: 内置规则 > 高级防御 > 拦截代码注入
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-11-22 23:00:45
  7. 拦截次数: 1
  8. 进程名称: elevation_service.exe
  9. 进程路径: C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe
  10. 进程命令行: "C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe"
  11. 操作目标: C:\Windows\System32\taskhostw.exe
复制代码
  1. 冰盾拦截事件:

  3. 行为: 创建服务
  4. 拦截规则: 内置规则 > 持久化 > 禁止创建服务
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-11-22 23:00:45
  7. 拦截次数: 1
  8. 进程名称: pythonw.exe
  9. 进程路径: C:\Program Files\Fleiong\c0H7obS8\2gEO0K\pythonw.exe
  10. 进程命令行: "C:\Program Files\\Fleiong\c0H7obS8\2gEO0K\pythonw.exe"
  11. 操作目标: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vmservice
复制代码
  1. 冰盾拦截事件:

  3. 行为: 设置注册表值
  4. 拦截规则: 内置规则 > 高级防御 > 拦截漏洞驱动利用
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-11-22 23:00:51
  7. 拦截次数: 1
  8. 进程名称: pythonw.exe
  9. 进程路径: C:\Program Files\Fleiong\c0H7obS8\2gEO0K\pythonw.exe
  10. 进程命令行: "C:\Program Files\\Fleiong\c0H7obS8\2gEO0K\pythonw.exe"
  11. 操作目标: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MiniFilterDrv
复制代码
  1. 冰盾拦截事件:

  3. 行为: 加载驱动
  4. 拦截规则: 内置规则 > 高级防御 > 拦截漏洞驱动利用
  5. 响应动作: 询问(允许)
  6. 最后一次拦截时间: 2025-11-22 23:00:53
  7. 拦截次数: 1
  8. 进程名称: pythonw.exe
  9. 进程路径: C:\Program Files\Fleiong\c0H7obS8\2gEO0K\pythonw.exe
  10. 进程命令行: "C:\Program Files\\Fleiong\c0H7obS8\2gEO0K\pythonw.exe"
  11. 操作目标: C:\Users\PC\AppData\Local\Temp\MiniFilterDrv
复制代码
  1. 冰盾拦截事件:

  3. 行为: 操作文件(新建)
  4. 拦截规则: 内置规则 > 漏洞防御 > 拦截利用系统机制发起的攻击
  5. 响应动作: 询问(拦截)
  6. 最后一次拦截时间: 2025-11-22 23:00:59
  7. 拦截次数: 1
  8. 进程名称: pythonw.exe
  9. 进程路径: C:\Program Files\Fleiong\c0H7obS8\2gEO0K\pythonw.exe
  10. 进程命令行: "C:\Program Files\\Fleiong\c0H7obS8\2gEO0K\pythonw.exe"
  11. 操作目标: C:\Windows\System32\CodeIntegrity\CiPolicies\Active\{31351756-3F24-4963-8380-4E7602335AAE}.cip
复制代码
回复

举报

压缩的时空
发表于 昨天 15:33 | 显示全部楼层
wwwab 发表于 2025-12-27 15:28
火绒: 扫描 miss
双击 漏洞驱动致盲 @wowocock

漏驱未入库....
回复

举报

Myrenaser
发表于 昨天 15:34 | 显示全部楼层
BDTS双击触发ATD,仅清除衍生物

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Yjln
发表于 昨天 15:58 | 显示全部楼层
norton v22被kill
回复

举报

wwwab
发表于 昨天 16:00 | 显示全部楼层
衍生物(驱动、白加黑等):https://pan.huang1111.cn/s/G8VelTW
今天周六我先报给火绒值班的吧
回复

举报

xiaobaobao20
发表于 昨天 16:22 | 显示全部楼层
红伞miss
360kill

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

lsop1349987
发表于 昨天 17:03 | 显示全部楼层
本帖最后由 lsop1349987 于 2025-12-27 17:48 编辑

avast双击无反应,疑似没后续动作
金山毒霸双击
  1. 系统防御日志 如下:

  3. [2025-12-27 17:13:21]

  5. 说明:发现病毒

  7. 操作:清除
  8. 文件路径:C:\ProgramData\DiamondAge\diamondage.exe
  9. 病毒名称:Win32.Hack.Generic.a.(kcloud)

  11. [2025-12-27 17:13:21]

  13. 说明:发现病毒

  15. 操作:清除
  16. 文件路径:C:\Windows\Temp\vally3dka.sys
  17. 病毒名称:Win64.Troj.VulnDriver.D.(kcloud)

  19. [2025-12-27 17:13:21]

  21. 说明:发现病毒

  23. 操作:清除
  24. 文件路径:c:\users\user000\appdata\local\temp\vally3dka.sys
  25. 病毒名称:Win32.Troj.mm.killer

  27. [2025-12-27 17:13:20]

  29. 说明:发现病毒
  30. 操作:清除
  31. 文件路径:c:\windows\system32\taskhostw.exe
  32. 病毒名称:MEM.Reflect.Gh0st.A

  34. [2025-12-27 17:13:20]

  36. 说明:发现病毒
  37. 操作:清除
  38. 文件路径:c:\windows\system32\taskhostw.exe
  39. 病毒名称:MEM.Shellcode.Gh0st.A

  41. [2025-12-27 17:13:20]

  43. 说明:发现病毒
  44. 操作:清除
  45. 文件路径:c:\program files (x86)\microsoft\edge\application\143.0.3650.96\elevation_service.exe
  46. 病毒名称:MEM.Shellcode.Suspicious.A

  48. [2025-12-27 17:13:20]

  50. 说明:发现病毒
  51. 操作:清除
  52. 文件路径:c:\program files\fleiong\c0h7obs8\2geo0k\pythonw.exe
  53. 病毒名称:MEM.Reflect.Gh0st.A

  55. [2025-12-27 17:13:20]

  57. 说明:发现病毒
  58. 操作:清除
  59. 文件路径:c:\program files\fleiong\c0h7obs8\2geo0k\pythonw.exe
  60. 病毒名称:MEM.Shellcode.Gh0st.A

  62. [2025-12-27 17:13:15]

  64. 说明:创建进程
  65. 操作:已拒绝
  66. 进程:C:\Windows\explorer.exe
  67. 子进程:C:\ProgramData\DiamondAge\diamondage.exe
  68. 进程参数:"C:\ProgramData\DiamondAge\diamondage.exe"
  69. 病毒名称:Win32.Hack.Generic.a.(kcloud)
  70. 功能:进程监控
  71. 操作文件 MD5:a437d48c56e5c5554c97babf12da1b0d
  72. 目标文件 MD5:b63d078a23db311967c6c1916a6d4f91

  74. [2025-12-27 17:13:10]

  76. 说明:释放文件
  77. 操作:
  78. 进程:C:\Windows\System32\svchost.exe
  79. 文件:C:\Windows\Temp\vally3dka.sys
  80. 病毒名称:Win64.Troj.VulnDriver.D.(kcloud)
  81. 功能:系统文件保护
  82. 操作文件 MD5:7469cc568ad6821fd9d925542730a7d8
  83. 目标文件 MD5:e1f74e71e8695423ceec9747894a0776

  85. [2025-12-27 17:13:10]

  87. 说明:释放文件
  88. 操作:已拒绝
  89. 进程:C:\Windows\System32\svchost.exe
  90. 文件:C:\Windows\Temp\vally3dka.sys
  91. 病毒名称:Win64.Troj.VulnDriver.D.(kcloud)
  92. 功能:文件监控
  93. 操作文件 MD5:7469cc568ad6821fd9d925542730a7d8
  94. 目标文件 MD5:e1f74e71e8695423ceec9747894a0776
复制代码
emsi双击
  1. 12/27/2025 5:45:41 PM
  2. 行为监控检测 可疑行为 "HiddenInstallation" 来自于 C:\Users\admin\Desktop\Ewaiwai2025.exe (SHA1: EE4DD27703DD04FF7B3D411975AA0C6858E7502C)
复制代码



回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-12-28 19:04 , Processed in 0.097404 second(s), 3 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表