极强注入银狐一个

显示全部楼层 · 发表于 2 小时前

小猛蚁通过QQ闪传分享了【病毒.zip】
链接：https://qfile.qq.com/q/TRcurgpq6a
请各大安全厂商尽快入库，这个病毒反逆向，而且检测到360会断网，遇到其他杀毒软件直接注入

微步查不出来
https://s.threatbook.com/report/file/ceaf736dd698c789e34451a23d4601141afdb63d024cb853b5755de51b2f96e5
vt1个：
https://www.virustotal.com/gui/f ... 853b5755de51b2f96e5
本人测试结果，仅供参考，火绒删除了一个衍生物，但是后续还是被注入了，所以貌似删的不是关键衍生物？自行判断组的杀毒软件阻止注入，但是没隔离东西，重启后依然反复阻止注入

显示全部楼层 · 发表于 2 小时前

本帖最后由 Loyisa 于 2026-3-14 15:31 编辑

衍生物 https://loyisa.lanzoum.com/iWyzD3kl8e2j

会添加计划任务

显示全部楼层 · 发表于 2 小时前

显示全部楼层 · 发表于 1 小时前

Loyisa 发表于 2026-3-14 15:29
衍生物 https://loyisa.lanzoum.com/iWyzD3kl8e2j

会添加计划任务

感谢提取

主要是我不知道哪个是黑dll，貌似有好几个？火绒好像删了1个

显示全部楼层 · 发表于 1 小时前

本帖最后由 ulyanov2233 于 2026-3-14 15:59 编辑

anyrun 检出stealerhttps://app.any.run/tasks/c974abdf-0c7f-491a-ae0c-6372274dda38疑似基础设施：27.124.41.208

显示全部楼层 · 发表于 1 小时前

无法运行

显示全部楼层 · 发表于半小时前

奇安信拦截衍生物

显示全部楼层 · 发表于半小时前

xjwtzq 发表于 2026-3-14 16:53
奇安信拦截衍生物

就这一个坏的衍生物吗？火绒虽然拦了这个，但是后续还是被注入了哇

显示全部楼层 · 发表于半小时前

初步排查，libcurl.dll是一个（疑似Aheadlib生成，libcurlOrg.dll这命名方式像我），DLL侧载劫持YXCallender.exe，并进行进程注入。

MC打头的那一批都具有无效证书，不过看着都是老程序（？），且疑似没有运行

显示全部楼层 · 发表于半小时前

小猛蚁发表于 2026-3-14 16:55
就这一个坏的衍生物吗？火绒虽然拦了这个，但是后续还是被注入了哇

就一个，

[病毒样本] 极强注入银狐一个