假WPS vt11/54

显示全部楼层 · 发表于昨天 08:36

本帖最后由 mzltest 于 2026-3-6 09:03 编辑

https://www[.]wps-wp[.]com/ -> https://x32-wps-7294738[.]oss-cn-hongkong[.]aliyuncs.com/x32-wps-7294738.zip

https://www.virustotal.com/gui/file/0a466876ab6fb852de5bf92227930fb2178baf477ca103dc5345b8165b193747/details

昨天晚上的东西，应该Activation64.dll是黑DLL。

来源依然是 https://bbs.kafan.cn/thread-2288931-1-1.html

这dll样本区首次看见是2月份，话说对应的白文件是什么。我这边只记录了黑dll名称所以只知道利用了特定的白文件，但是不知道是什么白文件

Mx通过QQ文件闪传分享了【x32msi.zip】
链接：https://qfile.qq.com/q/TXziBZ8XGS

显示全部楼层 · 发表于昨天 09:01

显示全部楼层 · 发表于昨天 10:12

病毒名称：Trojan/Generic!AB57EFD5DB7A4469
病毒ID：AB57EFD5DB7A4469
病毒路径：C:\Users\yhg\AppData\Roaming\KingWSP-Steups_win7-11_v1772626286.9340053\Core\Activation64.dll
操作类型：修改
操作结果：已处理，删除文件

进程ID：7020
操作进程：C:\Windows\System32\msiexec.exe
操作进程命令行：C:\Windows\system32\msiexec.exe /V
父进程ID：1004
父进程：C:\Windows\System32\services.exe

显示全部楼层 · 发表于昨天 10:14

360扫描

显示全部楼层 · 发表于昨天 10:25

启动计划任务
<Exec>
   <Command>cmd</Command>
   <Arguments>/c start "" "C:\Users\yhg\AppData\Roaming\KingWSP-Steups_win7-11_v1772626286.9340053\Apex.exe"</Arguments>
</Exec>
该白exe的导入不是当前目录下，而是core子目录下DLL。
Core/Activation64.dll

.ooa:000000014000A000                public start
.ooa:000000014000A000 start          proc near
.ooa:000000014000A000                nop
.ooa:000000014000A001                jmp    cs:Core_Activation64_100
.ooa:000000014000A001 start          endp

.idata:000000014000A26A ; Imports from Core/Activation64.dll
.idata:000000014000A26A ;
.idata:000000014000A26A ; ===========================================================================
.idata:000000014000A26A
.idata:000000014000A26A ; Segment type: Externs
.idata:000000014000A26A ; _idata
.idata:000000014000A26A                extrn Core_Activation64_100:qword
.idata:000000014000A26A                                        ; DATA XREF: start+1↑r
.idata:000000014000A26A                                        ; .ooa:000000014000A252↑o
.idata:000000014000A26A                                        ; Import by ordinal 100
.idata:000000014000A272                extrn Core_Activation64_101:qword ; Import by ordinal 101
.idata:000000014000A27A
.idata:000000014000A27A
.ooa:000000014000A282 ;
.ooa:000000014000A282 ; Import names for Core/Activation64.dll

显示全部楼层 · 发表于昨天 10:41

已防止访问危险网站
导航到旨在感染您的计算机，降低其性能，破坏系统或造成其他损害的恶意网站已被阻止。

我们保护您不访问此网站。您可以安全地关闭该窗口。

检测时间:

2026/3/6 10:41:32

网址:

www.wps-wp.com

阻止者:

安全浏览

原因:

危险网址

检测方法:

数据库

显示全部楼层 · 发表于昨天 12:32

本帖最后由 JeanABC 于 2026-3-6 14:40 编辑

编辑

显示全部楼层 · 发表于昨天 13:47

本帖最后由 WGC_ZY 于 2026-3-6 13:53 编辑

ESSP：
C:\Users\Zhang\Downloads\x32-wps-7294738.msi » MSI » disk1.cab » CAB » Activation64.dll - a variant of Win64/Agent.IHU trojan - deleted
卡巴：
双击后一开始没反应，但我重启了一下虚拟机之后开始PDM，把apex.exe和关联的计划任务给鲨了。

显示全部楼层 · 发表于昨天 14:25

腾讯IOA MISS

显示全部楼层 · 发表于昨天 15:43

本帖最后由 scottxzt 于 2026-3-6 15:44 编辑

双击运行二次
Trojan:Win32/Etset!rfn

file: F:\x32msi\x32-wps-7294738.msi

[病毒样本] 假WPS vt11/54

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源