FakeApp 2x

MinikoMew

由于这个软件的特殊性，我不敢贴对应的链接，如果要上报请私信我
【SilverFox.zip】https://qfile.qq.com/q/RdkEmr3K0O

均为首传,一个15x 一个13x
https://www.virustotal.com/gui/f ... 8eb8233a2?nocache=1
https://www.virustotal.com/gui/f ... 6b5d0e90f?nocache=1

莒县小哥

压缩的时空

火绒主防捉，

1. 病毒名称：Trojan/ShellLoader.aia
   
2. 病毒ID：75A49D644717AD83
   
3. 病毒路径：C:\Users\user\AppData\Roaming\Embarcadero\AutoRecoverDat.dll
   
4. 操作类型：修改
   
5. 操作结果：已处理，删除文件
   
6. 
   
7. 病毒名称：Trojan/ShellLoader.agk
   
8. 病毒ID：A05B4E4AA2C78104
   
9. 病毒路径：C:\Users\user\AppData\Local\Verifier.exe
   
10. 操作类型：修改
    
11. 操作结果：已处理，删除文件
    

复制代码

潇湘剑雨

## 1. 样本概览

### 样本 A
- 路径: `E:\exe\H_World_Setup_INS.exe`
- 大小: 136,404,291 bytes
- SHA256: `89F8B6CADE1808AFCEA0C700B66BD44802742299812C066298474326B5D0E90F`
- 签名: 显示有签名链(证书主体为“East Money Information Co., Ltd.”)，但 **Authenticode 校验为 HashMismatch** (文件内容与签名摘要不匹配，疑似被二次篡改/拼接)。
- 打包/格式: NSIS 安装包 (7-Zip 识别为 `NSIS-3 Unicode`)，PE 头部较小，`overlay` 极大 (典型安装包/投递器形态)。

### 样本 B
- 路径: `E:\exe\HalloчWerld精简版-win-2.1.2-x64_patched.exe`
- 大小: 165,312,841 bytes
- SHA256: `3FC9338DB9773F4163E235F537E79EF066B1D10CA4735231A67BA5F8EB8233A2`
- 签名: 显示“Adobe Inc. / Flash Player”证书链，但 **Authenticode 校验为 HashMismatch** (同样是“签了但被改过”的典型伪装)。
- 打包/格式: NSIS 安装包 (`NSIS-2.25`)，overlay 极大。

## 2. 投递链/解密机制 (核心结论)

两份样本都是 NSIS 投递器，释放一组看似随机命名的文件到 `$LOCALAPPDATA` / `$APPDATA` 路径，并携带自定义插件 `DcryptDll.dll`。

`DcryptDll.dll` 导出如下函数:
- `Decrypt`
- `HexDecoder`
- `HexEncoder`
- `LoadStr`
- `MD5Hash`

通过对 `DcryptDll.dll` 逆向(静态)确认其 **加解密核心为 RC4**:
- `fcn.10002a32`: RC4 KSA (S 盒初始化/置换)
- `fcn.1000298c`: RC4 PRGA (生成密钥流并 XOR 数据)

NSIS 会生成/释放一个 64 字节的十六进制字符串文件 `$R0` 作为 RC4 key (32 bytes)：
- 样本 A key (`E:\analysis\extract\H_World_Setup_INS\$LOCALAPPDATA\$R0`):
  `DEE453B5E726685044BDFD2BC0827BD535AAF2B4A6A674A4F5FF697301B54C54`
- 样本 B key (`E:\analysis\extract\HalloWerld\$LOCALAPPDATA\$R0`):
  `0FE45912C41BAE5AA24673FA8CF5A33C21F8AFC7B7BF201F1B8EC1857BFE2D6C`

使用该 key 对释放出的若干大文件进行 RC4 解密后，可得到二阶段 PE/NSIS 内容 (见第 3 节)。

说明: 这是典型“安装包投递器 + 自定义解密插件 + 加密载荷”的链路，常见于金融诈骗/木马投递活动；但仅凭静态证据 **无法严谨归因** 为某一特定家族(例如“银狐”)，只能说 TTP 相似。

## 3. 解密后的关键载荷

为避免 Defender 直接拦截，我们在 `E:\analysis\rc4_decrypt.py` 中实现了 RC4 流式解密，对部分载荷离线解密。

### 3.1 样本 A 解密产物

- `E:\analysis\decrypted\s1_R1.bin`
  - SHA256: `BE5A5E44DDCC8EB6D94FDB484246A4D3A6B41568BEC7EB825AC633B9A27DCD44`
  - PE32 GUI，7-Zip 显示内部名 `GameFetchEx.exe`
  - 签名: 证书主体为 `SuZhou Snail Digital Technology Co., Ltd`，但 **HashMismatch** (疑似“借用/篡改签名程序”做白利用/绕过)。

- `E:\analysis\decrypted\s1_R4.bin`
  - SHA256: `DFFBF02773670E3DC6FAD1E7FDBD746F43721BDEDBFEFC1D1F8A21E61EA23F95`
  - PE32 DLL
  - 关键导入(节选): `AddVectoredExceptionHandler`, `GetThreadContext`, `SetThreadContext`, `ResumeThread`, `VirtualAlloc`, `VirtualProtect` 等
  - 这类 API 组合常用于 loader / 反调试 / 线程上下文修改。

- `E:\analysis\decrypted\s1_R9.bin`
  - SHA256: `980756FBF97457C06AD953431D85BAF72BABFE4E1B81898B97D797A792F82E05`
  - NSIS-3 Unicode (内嵌二阶段安装包)
  - 解包后核心内容是 `app-64.7z`，其中包含 Electron 应用与 `resources\app.asar`。

### 3.2 样本 B 解密产物

- `E:\analysis\decrypted\s2_R1.bin`
  - 该文件在落地后被 Defender 判定为恶意并阻止读取 (Get-FileHash/pefile 打开失败)。
  - 我们改为对其 **加密态文件** `E:\analysis\extract\HalloWerld\$LOCALAPPDATA\$R1` 解密到内存并解析 PE，得到:
    - 解密后 SHA256: `EB0905B8999B945CD022BEF71A31F7BF706E92CA0509F6D4151347B12F397CDA`
    - Import DLLs 包含 `WS2_32.dll`, `WININET.dll` (网络能力明显)

- `E:\analysis\decrypted\s2_R4.bin`
  - SHA256: `C218C21D68C4B3CC6B95EFF0242BF7E13540A7177B68994336A7440712D8FDDD`
  - 与 `s1_R4.bin` 导入特征高度一致 (同类 loader DLL)。

- `E:\analysis\decrypted\s2_R9.bin`
  - SHA256 与样本 A 的 `s1_R9.bin` 完全一致 (二阶段 NSIS 相同)。

### 3.3 二阶段 Electron 包

从 `s1_R9.bin` 解包得到的 Electron 主程序:
- `E:\analysis\extract2\app-64\HelloWorld精简版.exe`
  - SHA256: `263FFC5DCEAEC65073A8EAE34715F0C73D285CD69AA31480DFE3DF8E24DACB42`
  - 未签名

`resources\app.asar`:
- `E:\analysis\extract2\app-64\resources\app.asar`
  - SHA256: `F17E1FE963E8756F9A8EAA55ED1C54A0ED550DA86A5FC523A1B2D7F9D9F908D3`

对 `app.asar` 使用 `npx asar extract` 解包到 `E:\analysis\extract2\app-asar` 后，针对 URL/域名的粗检主要命中大量公开站点(规范/文档/第三方服务)。未在当前规则下稳定抽到明确的 C2 域名。

## 4. 发现的可用 IOC

### 4.1 文件哈希 (SHA256)
- 外层投递器:
  - `H_World_Setup_INS.exe`: `89F8B6CADE1808AFCEA0C700B66BD44802742299812C066298474326B5D0E90F`
  - `HalloчWerld精简版-win-2.1.2-x64_patched.exe`: `3FC9338DB9773F4163E235F537E79EF066B1D10CA4735231A67BA5F8EB8233A2`

- 自定义解密插件:
  - 样本 A `DcryptDll.dll`: `0ACB047F854771E2D5F5E7A3A2C8E261C86223988B2B6B00036FE64DF994B537`
  - 样本 B `DcryptDll.dll`: `F730D9385BF72EAC5D579BCF1F7E4330F1D239CA1054D4EAD48E9E363D9F4222`

- 二阶段/解密产物:
  - `s1_R1.bin (GameFetchEx.exe)`: `BE5A5E44DDCC8EB6D94FDB484246A4D3A6B41568BEC7EB825AC633B9A27DCD44`
  - `s1_R4.bin (DLL)`: `DFFBF02773670E3DC6FAD1E7FDBD746F43721BDEDBFEFC1D1F8A21E61EA23F95`
  - `s1_R9.bin (NSIS)`: `980756FBF97457C06AD953431D85BAF72BABFE4E1B81898B97D797A792F82E05`
  - `s2_R4.bin (DLL)`: `C218C21D68C4B3CC6B95EFF0242BF7E13540A7177B68994336A7440712D8FDDD`
  - `s2_R1.bin` (内存解密后): `EB0905B8999B945CD022BEF71A31F7BF706E92CA0509F6D4151347B12F397CDA`

- Electron 主程序/asar:
  - `HelloWorld精简版.exe`: `263FFC5DCEAEC65073A8EAE34715F0C73D285CD69AA31480DFE3DF8E24DACB42`
  - `app.asar`: `F17E1FE963E8756F9A8EAA55ED1C54A0ED550DA86A5FC523A1B2D7F9D9F908D3`

### 4.2 关键字符串
- 外层样本 A 中可见的可疑域名片段(存在于高熵区域，需结合动态证据确认用途):
  - `Jvk-.CN|` (offset 44580847)
  - `Wbn.ru` (offset 120484510; 原始字符串含前缀 `6*Wbn.ru`)
补充：
关键发现（core payload / C2 配置）

  - s2_R1（RC4 解密后 SHA256 EB0905B8999B945CD022BEF71A31F7BF706E92CA0509F6D4151347B12F397CDA）是 PE32 GUI，导入
    WININET.dll + WS2_32.dll，并且 WININET 导入里有一整套 FTP API（InternetConnectA, FtpPutFileA, FtpOpenFileA 等）。
  - 它的明文网络配置被“藏”在 Bitmap 资源里（.rsrc 的 type=2, id=175, lang=2052，文件内偏移 0x1f5030 附近），可直接提取
    到：
      - Server = 58.211.140.3
      - port = 21
      - downtype = ftp
      - 还带 [game] name = 9yin、item0 = trace.log 等字段（疑似按游戏/客户端日志收集并上传）

心醉咖啡

360

hashcake

----------------------------------------
Ti Security 1.1 Beta Pre-Release 5
步进:A1
Packed time: 2026/02/07 07:29
引擎信息:
| Ti 卷积核 202507151804
| Ti 智芯 202602070302
| Ti FML 202602070618
--------------------
Feedback Email: 1828529634@qq.com
----------------------------------------
开-始-扫-描
请输入要扫描的文件夹/文件: D:\Users\Administrator\Downloads\SilverFox.zip

发现威胁: D:\Users\Administrator\Downloads\SilverFox.zip\H_World_Setup_INS\H_World_Setup_INS.exe (置信度: 1.000000)
扫描完成！
路径: D:\Users\Administrator\Downloads\SilverFox.zip
用时: 00:00:44
已扫描: 2 文件
发现威胁: 1
请按任意键继续. . .

成顔

BEST

PhozeAMTB

WD 双击 2x

潇湘剑雨

结论：这个东西不像是SilverFox 反编译后能看到明文硬编在程序中的字符串FTP地址 用户名和密码 与常规的SilverFox不符
## 1. 执行摘要

本次共分析 2 个 Windows 可执行样本，均伪装为安装包并使用 NSIS 打包。两者携带自定义解密插件 `DcryptDll.dll`，通过释放的 32 字节密钥文件 `$R0` 对后续载荷进行 RC4 解密。

在样本 B 的二阶段载荷中识别到明确的外联与数据传输能力: 基于 `WININET.dll` 的 FTP 会话，且其网络配置被隐藏在 PE 资源的 Bitmap 像素数据中。该模块包含硬编码 FTP 账号口令，并可选择被动模式。综合证据可确认该投递链具有恶意目的 (疑似信息收集/日志外传)。

“银狐”归因: 当前证据仅表明 TTP 相似，无法严谨归因为特定家族，建议对外表述为“恶意投递链/木马”而非直接定性家族。

## 2. 样本清单 (入口投递器)

样本 A
- 路径: `E:\exe\H_World_Setup_INS.exe`
- 类型: NSIS-3 Unicode 安装包
- SHA256: `89F8B6CADE1808AFCEA0C700B66BD44802742299812C066298474326B5D0E90F`
- 签名: 显示证书链但 Authenticode 校验为 `HashMismatch` (文件内容与签名摘要不匹配，疑似篡改/拼接伪装)

样本 B
- 路径: `E:\exe\HalloчWerld精简版-win-2.1.2-x64_patched.exe`
- 类型: NSIS-2.25 安装包
- SHA256: `3FC9338DB9773F4163E235F537E79EF066B1D10CA4735231A67BA5F8EB8233A2`
- 签名: 显示证书链但 Authenticode 校验为 `HashMismatch`

## 3. 投递链与解密机制 (关键技术点)

- 两个入口样本均为 NSIS 投递器，释放自定义插件 `DcryptDll.dll` 与密钥文件 `$R0`。
- `DcryptDll.dll` 静态逆向确认其核心为 RC4:
- KSA/PRGA 结构与 RC4 匹配
- NSIS 侧释放的 `$R0` 为 64 个 ASCII HEX 字符 (32 字节) 作为 RC4 key

对应 RC4 key (32 bytes)
- 样本 A `$R0`: `DEE453B5E726685044BDFD2BC0827BD535AAF2B4A6A674A4F5FF697301B54C54`
- 样本 B `$R0`: `0FE45912C41BAE5AA24673FA8CF5A33C21F8AFC7B7BF201F1B8EC1857BFE2D6C`

## 4. 核心恶意模块 (样本 B 二阶段 `s2_R1`)

说明: 该模块在“落地到磁盘”后被 Defender/安全软件拦截，因此我们使用“加密态文件 -> RC4 解密到内存 -> 解析 PE”的方式完成分析。

模块标识
- 解密后 SHA256: `EB0905B8999B945CD022BEF71A31F7BF706E92CA0509F6D4151347B12F397CDA`
- 平台: PE32 GUI
- 关键导入: `WININET.dll`, `WS2_32.dll`, `ADVAPI32.dll`
- 关键能力: FTP 连接、目录操作、上传/下载、读写文件、注册表读写

网络配置隐藏方式
- 配置以 INI 片段形式明文存在，但被嵌入在 PE 资源的 Bitmap 数据中:
- 资源: RT_BITMAP (type=2) id=175 lang=2052
- 其中包含 `[net]`、`Server = ...`、`port = ...`、`downtype = ftp` 等字段

提取到的外联参数与凭据 (IOC)
- FTP Server: `58.211.140.3`
- FTP Port: `21`
- FTP Username: `SnAilBugs`
- FTP Password: `Sb#$159&Nx`
- FTP Mode: 支持 `INTERNET_FLAG_PASSIVE (0x08000000)` 被动模式开关

采集/外传相关线索
- 配置中包含 `item0 = trace.log`
- 程序字符串中包含 `BugReport.ini`、`BugSysInfo.ini`、`bugreportlogs.zip` 等命名，整体行为更像“伪装为崩溃/日志上报”的外传组件

关于基础设施存活性
- 观察: 用户在 2026-02-07 本地验证时，`58.211.140.3:21` 端口已关闭且无法 ping 通。
- 解释: 该样本可能为“化石样本/已下线基础设施”，但不影响其恶意能力判定。

## 5. 其他载荷与未决事项

- 解密产物 `s2_R4.bin` 体量较大，资源段包含高熵数据，并可提取出一个 x64 PE (DOS 头魔数被清零但 `PE\0\0` 头存在，疑似规避检测)。
- 目前对该 x64 PE 的行为未完成终局确认 (尚未完成对其巨大高熵 `.data` 的静态解包)，建议在隔离沙箱中进一步动态验证或继续纯静态解包。

## 6. 防守建议 (面向响应与狩猎)

立即动作
- 将 IOC 纳入阻断与溯源:
- `58.211.140.3:21`
- 账号口令 `SnAilBugs` / `Sb#$159&Nx` (用于情报关联与样本聚类)
- 在终端侧排查 NSIS 投递器落地目录与痕迹:
- `%LOCALAPPDATA%` 下的异常文件 (特别是 `$R0`、`$R1` 等“短名/变量风格”文件)
- 是否存在 `DcryptDll.dll` (NSIS 插件样式) 以及大文件解密产物

检测与狩猎思路
- 关注可疑 PE 资源中嵌入明文配置:
- Bitmap/DIB 数据尾部或像素区出现 `[net]` / `Server =` / `downtype = ftp` 等 INI 片段
- 关注同时具备 `WININET` FTP API 导入且包含注册表写入的可疑程序:
- `InternetOpenA`, `InternetConnectA`, `FtpPutFileA`, `FtpOpenFileA`, `RegSetValueExA` 等组合

biue

腾讯电脑管家 2X