#FakeApp WPS 1x

显示全部楼层 · 发表于前天 21:27

https://qfile.qq.com/q/CG7CO9pFug
https://www.virustotal.com/gui/f ... b729fbf13?nocache=1

显示全部楼层 · 发表于前天 21:49

件: 检测到恶意对象
应用程序: wp_win64_5.exe
用户: DESKTOP-3RI9KJ8\Administrator
用户类型: 发起者
组件: 系统监控
结果描述: 检测到
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: D:\样本
对象名称: wp_win64_5.exe
原因: 行为分析
数据库发布日期: 今天，2026/4/17 下午8:51:00
MD5: 641D9488F36E138CE2C4B25E11C15E7E

显示全部楼层 · 发表于前天 22:19

显示全部楼层 · 发表于前天 23:03

这个跟隔壁的有道是一样的病毒行为，用冰盾5.5.0版本测试后的拦截事件是一样的。

冰盾拦截事件：

行为: 设置注册表值
拦截规则: 内置规则 > 拦截恶意行为 > 使用可疑路径创建服务
响应动作: 拦截
拦截时间: 2026-04-17 23:00:58
拦截次数: 1
进程名称: elevation_service.exe
进程路径: C:\Program Files (x86)\Microsoft\Edge\Application\96.0.1054.34\elevation_service.exe
进程命令行: "C:\Program Files (x86)\Microsoft\Edge\Application\96.0.1054.34\elevation_service.exe"
操作目标: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\9elvIl6MpiC0idR
目标详情: {"Value":"cmd /c cd /d \"C:\\ESD\\cJZrnT\\X5V2\\v2QEv\\OYi1C\\\" && start \"\" \"C:\\ESD\\cJZrnT\\X5V2\\v2QEv\\OYi1C\\1aMaQ.exe\"","ValueName":"ImagePath"}

显示全部楼层 · 发表于前天 23:42

ESSP：扫描1x

[病毒样本] #FakeApp WPS 1x

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块