强WPS银狐X1

显示全部楼层 · 发表于昨天 23:25

该银狐的注入手段比较粗暴，运行后会释放一个名为“diaO.exe”的衍生物，随后桌面生成“W P S”的快捷方式（依旧是经典，打开快捷方式后才是真正的安装程序）主要注入系统的服务主机进程，explorer，以及一些其它应用程序进程（我这里WinRaR被注入了，火绒拦截访问恶意网址）

这是测试报告，仅供参考哈。

杀毒软件的报毒：

（居然一个杀毒软件也检测不出来

）

样本链接：https://qfile.qq.com/q/zcGcCbA0Ss （注意：样本没有压缩密码！！！谨慎打开！！！）
微步云沙箱：https://s.threatbook.com/report/file/3cffb6ffbfb894b415f171e5bb24c84da9af611f6c40f98ce746bfdc9684fc78

SHA256: 3cffb6ffbfb894b415f171e5bb24c84da9af611f6c40f98ce746bfdc9684fc78
MD5: 717b6cace29f1120d80c6b4a77694862
SHA1: 41ce8cc7e752b83eccccf13c8d114d0c719522d7

显示全部楼层 · 发表于昨天 23:40

https://bbs.kafan.cn/thread-2290900-1-1.html
和这个应该是一个家族的，ES双击秒了

显示全部楼层 · 发表于昨天 23:43

360卫士kill

显示全部楼层 · 发表于昨天 23:44

https://opentip.kaspersky.com/5F ... /
op检出

显示全部楼层 · 发表于昨天 23:44

momli 发表于 2026-4-18 23:43
360卫士kill

我这是好几天前测试的，样本估计被上报了

显示全部楼层 · 发表于昨天 23:50

本帖最后由 a2650183122 于 2026-4-18 23:52 编辑

awsl10000次发表于 2026-4-18 23:44
https://opentip.kaspersky.com/5F ... /
op检出

卡巴拉黑了，是真的快 23:37跑的动态，23:43就拉黑了

显示全部楼层 · 发表于昨天 23:55

在提示三个可疑行为后，冰盾检测到银狐木马特征直接拦截

显示全部楼层 · 发表于 8 小时前

DeepSeek 发表于 2026-4-18 23:55
在提示三个可疑行为后，冰盾检测到银狐木马特征直接拦截

冰盾果然还是银狐最严厉的父亲

显示全部楼层 · 发表于 8 小时前

a2650183122 发表于 2026-4-18 23:50
卡巴拉黑了，是真的快 23:37跑的动态，23:43就拉黑了

这个速度着实有点快，最开始op就跑出四个沙箱特征，现在是9个沙箱特征＋一个本地特征（不过只是agent xxxxx 强度恐怕不高）

显示全部楼层 · 发表于 8 小时前

awsl10000次发表于 2026-4-19 00:06
这个速度着实有点快，最开始op就跑出四个沙箱特征，现在是9个沙箱特征＋一个本地特征（不过只是agent xxx ...

11个了

[病毒样本] 强WPS银狐X1

本帖子中包含更多资源

本帖子中包含更多资源

评分

浏览过的版块