SilverFox #FakeAPP 1X

神龟Turmi

下载：
https://www.lanzoum.com/TS-260120-01
https://ts.lanzouv.com/TS-260120-01

VT：
https://www.virustotal.com/gui/f ... bab8df8b5/detection

处扫4

MD：
https://metadefender.com/results ... SWV9xV2lnVVBj_mdaas

处扫3

超过100MB没有MB和Neiki

C&C：

1. 206.238.115.137 //中国 香港 tcloudnet.net

复制代码

SentinelOne：
扫描MISS 未双击

wwwab

火绒不杀
双击:

1. 发现风险：1
   
2. 已处理风险：1
   
3. 病毒详情：
   
4. 风险路径：mem://3888-0x390fc473-0x2713a630000-C:\Windows\System32\sihost.exe, 病毒名：TrojanSpy/Stealer.th, 病毒ID：9a677bde6ed2f96f, 处理结果：处理成功，进程已结束
   

复制代码

衍生物: https://bbs.huorong.cn/forum.php ... request=yes&_f=.zip (已上报)
@wowocock 现在这个好像不是白加黑？看上去似乎是自写了一个"1nEnHBlZi9.exe"加载器加载"swT53Www.i"dll

LingGao

Microsoft Defender

“VVP.S.Exps.Sietup11.2.4.exe”
Trojan:Win32/Wacatac.H!ml

Jerry.Lin

wwwab 发表于 2026-1-19 11:54
火绒不杀
双击:
衍生物: https://bbs.huorong.cn/forum.php ... request=yes&_f=.zip (已上报)

在遥测特征里

zfc234

Sophos 1x

莒县小哥

事件: 对象已删除
用户: DESKTOP-3NQK9RE\Administrator
用户类型: 活动用户
应用程序名称: explorer.exe
应用程序路径: C:\Windows
组件: 文件反病毒
结果描述: 已删除
类型: 木马
名称: HEUR:Trojan-Dropper.Script.Agent.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: VVP.S.Exps.Sietup11.2.4.exe
对象路径: C:\Users\Administrator\Downloads
对象的 MD5: 1E7C0877E39E643F26B0922877E80B45

微微的笑

监控不杀，直接沙箱运行。

AMD_Ryzen

BEST 双击杀衍生物

一成不变

360kill

wowocock

wwwab 发表于 2026-1-20 01:54
火绒不杀
双击:
衍生物: https://bbs.huorong.cn/forum.php ... request=yes&_f=.zip (已上报)

他这个的确不是白加黑，他的特点是写了个随机名字的EXE，这个EXE是个有效的PE但内容可以随机，实际就是个PE EXE的容器，用IDA逆向入口点发现基本都是无法识别的指令，，其导入了swT53Www.i，这个才是关键点，入口会先执行这个加了VMP的导入模块，在该模块总执行主要功能。这种方式对了除360以外的杀软非常有效，但对于360这种非白即黑的启动扫描，基本是没戏，不过对于其他那种只杀黑的杀软效果非常好，因为其EXE可以随意，而且导入模块的名字也可以随意。木马EXE这里看到导入的名字都不包含DLL，可以绕过很多杀软检测，而且其极易的修改性，导致你拉黑都跟不上速度。好在目前火绒恶意木马专杀可以无视这种是否拉黑通杀处理。