收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 Stealer 15x
返回列表 发新帖
查看: 299|回复: 6
收起左侧

[病毒样本] Stealer 15x

[复制链接]
xiaozhu009
发表于 9 小时前 | 显示全部楼层 |阅读模式
https://pan.huang1111.cn/s/gg5YzUQ
回复

举报

jxfaiu
发表于 8 小时前 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

嘿嘿不能说
发表于 7 小时前 | 显示全部楼层
本帖最后由 嘿嘿不能说 于 2026-4-20 14:55 编辑

360:6







gertgherthre.exe:

  1. 2026-04-20 14:10:54        [自动阻止]          注入系统进程        防护 1 次
  2. 详细描述:
  3. 进程:C:\Windows\System32\nslookup.exe
  4. 动作:注入系统进程
  5. 路径:C:\Windows\System32\svchost.exe
  6. 防护信息: AD|107, 0|10, -1, -1||

  8. 2026-04-20 14:10:54        [已阻止]          注入系统进程        防护 1 次
  9. 详细描述:
  10. 进程:C:\Windows\System32\nslookup.exe
  11. 动作:注入系统进程
  12. 路径:C:\Windows\System32\svchost.exe
  13. 风险文件:C:\ProgramData\Microsoft\Windows\WDI\LogFiles\taskhostw.exe
  14. 拦截补充描述:程序正在进行进程注入,将代码藏匿到其他进程来运行,木马通常以此来隐藏自己的恶意行为。

  16. 防护信息: AD|107, 1161|10, 30, 10||

  18. 2026-04-20 14:10:36        [已阻止]          修改 驱动/服务        防护 1 次
  19. 详细描述:
  20. 注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\MKGOISILPB\[ImagePath]
  21. 注册表内容:%SystemRoot%\System32\svchost.exe -k NetworkService -p
  22. 进程:C:\Windows\System32\reg.exe
  23. 父进程:C:\Windows\System32\nslookup.exe , (103)
  24. 风险文件:C:\ProgramData\Microsoft\Windows\WDI\LogFiles\taskhostw.exe
  25. 防护信息: RD|3, 41|10, 10, 10|9F47467F2AA4EEDE92AC5EEE20D42FDA|1cdfdd53105b97e03878a599dfe3161106cb2130|

  27. 2026-04-20 14:10:29        [已阻止]          修改 驱动/服务        防护 1 次
  28. 详细描述:
  29. 注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\JTNJFHMWGR\[ImagePath]
  30. 注册表内容:%SystemRoot%\System32\svchost.exe -k netsvcs -p
  31. 进程:C:\Windows\System32\reg.exe
  32. 父进程:C:\Windows\System32\nslookup.exe , (103)
  33. 风险文件:C:\ProgramData\Microsoft\Windows\WDI\LogFiles\taskhostw.exe
  34. 防护信息: RD|3, 41|10, 10, 10|9F47467F2AA4EEDE92AC5EEE20D42FDA|1cdfdd53105b97e03878a599dfe3161106cb2130|

  36. 2026-04-20 14:10:23        [已阻止]          修改 驱动/服务        防护 1 次
  37. 详细描述:
  38. 注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\QZZDVTIOZM\[ImagePath]
  39. 注册表内容:%systemroot%\system32\svchost.exe -k netsvcs -p
  40. 进程:C:\Windows\System32\reg.exe
  41. 父进程:C:\Windows\System32\nslookup.exe , (103)
  42. 风险文件:C:\ProgramData\Microsoft\Windows\WDI\LogFiles\taskhostw.exe
  43. 防护信息: RD|3, 41|10, 10, 10|9F47467F2AA4EEDE92AC5EEE20D42FDA|1cdfdd53105b97e03878a599dfe3161106cb2130|

  45. 2026-04-20 14:10:15        [已阻止]          修改 驱动/服务        防护 1 次
  46. 详细描述:
  47. 注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\EZKKCPIDXA\[ImagePath]
  48. 注册表内容:%systemroot%\system32\svchost.exe -k wusvcs -p
  49. 进程:C:\Windows\System32\reg.exe
  50. 父进程:C:\Windows\System32\nslookup.exe , (103)
  51. 风险文件:C:\ProgramData\Microsoft\Windows\WDI\LogFiles\taskhostw.exe
  52. 防护信息: RD|3, 41|10, 10, 10|9F47467F2AA4EEDE92AC5EEE20D42FDA|1cdfdd53105b97e03878a599dfe3161106cb2130|

  54. 2026-04-20 14:10:08        [已阻止]          修改 驱动/服务        防护 1 次
  55. 详细描述:
  56. 注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\ISDQZOGDUU\[ImagePath]
  57. 注册表内容:%systemroot%\system32\svchost.exe -k netsvcs -p
  58. 进程:C:\Windows\System32\reg.exe
  59. 父进程:C:\Windows\System32\nslookup.exe , (103)
  60. 风险文件:C:\ProgramData\Microsoft\Windows\WDI\LogFiles\taskhostw.exe
  61. 防护信息: RD|3, 41|10, 10, 10|9F47467F2AA4EEDE92AC5EEE20D42FDA|1cdfdd53105b97e03878a599dfe3161106cb2130|

  63. 2026-04-20 14:09:27        [已阻止]          进程创建        防护 1 次
  64. 详细描述:
  65. 进程:C:\Users\123aaa\Desktop\20260420Stealer 15x\gertgherthre.exe
  66. 动作:进程创建
  67. 路径:C:\Windows\System32\cmstp.exe
  68. 风险文件:C:\Windows\System32\cmstp.exe
  69. 拦截补充描述:为了您的上网安全,如果您不认识此程序,请阻止此操作。

  71. 防护信息: AD|1, 4|10, -1, 60||
复制代码


Xeno.exe:有密码保护的自解压文件

Loader (2).exe/GateMixer-Setup-0.2.3.exe/myhthicjourney Setup 1.1.2.exe/SETUP.zip:无反应

Bullet_Glyph.exe:到这里炸开锅了,能明显感觉到环境已经很不正常,出现了多次拦截,下图可以反应出来



一段时间后的日志。。。。。。

  1. 2026-04-20 14:42:42        [自动阻止]          注入系统进程        防护 1057 次
  2. 详细描述:
  3. 进程:C:\Windows\System32\nslookup.exe
  4. 动作:注入系统进程
  5. 路径:C:\Windows\System32\svchost.exe
  6. 防护信息: AD|107, 0|10, -1, -1||

  8. 2026-04-20 14:35:11        [已阻止]          修改 系统敏感启动项        防护 1 次
  9. 详细描述:
  10. 注册表位置:HKEY_CURRENT_USER\Software\Classes\CLSID\{34727D-3472-3472-3472-34727D3472}\INPROCSERVER32\[]
  11. 注册表内容:C:\Users\123aaa\AppData\Local\Programs\Bullet_Glyph\Bullet_Glyph.exe
  12. 进程:C:\Windows\System32\reg.exe
  13. 父进程:C:\Windows\System32\cmd.exe , (103)
  14. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  15. 防护信息: RD|53, 1446|40, 10, 10|||

  17. 2026-04-20 14:35:09        [已阻止]          添加WMI启动项        防护 1 次
  18. 详细描述:
  19. 进程:C:\Windows\System32\cscript.exe
  20. 动作:添加WMI启动项
  21. 路径:
  22. 风险文件:C:\Users\123aaa\AppData\Local\Temp\~mo6tljvm.vbs
  23. 拦截补充描述:WMI启动项会被Windows系统定时启动,木马经常以此来自动运行。增加可疑WMI启动项可能会导致电脑感染木马。如果不是您主动修改,请阻止。

  25. 防护信息: AD|34, 339|40, 40, -1||

  27. 2026-04-20 14:35:05        [已阻止]          修改 系统启动目录        防护 1 次
  28. 详细描述:
  29. 进程:C:\Windows\System32\cscript.exe
  30. 动作:试图修改
  31. 路径:C:\Users\123aaa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Spotify.lnk
  32. 防护信息: FD|26, 823|40, 40, -1|||

  34. 2026-04-20 14:35:02        [已阻止]          修改 开机启动项        防护 1 次
  35. 详细描述:
  36. 注册表位置:HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\[AdobeGCInvoker]
  37. 注册表内容:C:\Users\123aaa\AppData\Local\Programs\Bullet_Glyph\Bullet_Glyph.exe
  38. 进程:C:\Windows\System32\reg.exe
  39. 父进程:C:\Windows\System32\cmd.exe , (103)
  40. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  41. 防护信息: RD|1, 2|40, 10, 10|||

  43. 2026-04-20 14:35:00        [已阻止]          进程创建        防护 1 次
  44. 详细描述:
  45. 进程:C:\Windows\System32\cmd.exe
  46. 动作:进程创建
  47. 路径:schtasks
  48. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  49. 拦截补充描述:计划任务会被Windows系统定时启动,木马经常以此来自动运行。增加可疑计划任务可能会导致电脑感染木马。如果不是您主动修改,请阻止。

  51. 防护信息: AD|1, 243|40, 40, -1||

  53. 2026-04-20 14:33:57        [已阻止]          进程创建        防护 1 次
  54. 详细描述:
  55. 进程:C:\Windows\System32\cmd.exe
  56. 动作:进程创建
  57. 路径:C:\Windows\System32\vssadmin.exe
  58. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  59. 拦截补充描述:通常敲诈者木马会试图删除磁盘卷影副本,阻止用户恢复被加密的文档或图片文件。如果您不认识此程序,请阻止。

  61. 防护信息: AD|20, 802|40, 40, 10||

  63. 2026-04-20 14:33:00        [已阻止]          结束进程        防护 1 次
  64. 详细描述:
  65. 进程:C:\Windows\System32\taskkill.exe
  66. 动作:结束进程
  67. 路径:C:\Windows\System32\Taskmgr.exe
  68. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  69. 拦截补充描述:可疑程序结束该进程可能会引发安全风险或未知电脑故障。如果您不认识此程序,请阻止。

  71. 防护信息: AD|43, 617|40, 40, -1||

  73. 2026-04-20 14:32:57        [已阻止]          结束进程        防护 1 次
  74. 详细描述:
  75. 进程:C:\Windows\System32\taskkill.exe
  76. 动作:结束进程
  77. 路径:C:\Windows\System32\Taskmgr.exe
  78. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  79. 拦截补充描述:可疑程序结束该进程可能会引发安全风险或未知电脑故障。如果您不认识此程序,请阻止。

  81. 防护信息: AD|43, 617|40, 40, -1||

  83. 2026-04-20 14:32:55        [已阻止]          结束进程        防护 1 次
  84. 详细描述:
  85. 进程:C:\Windows\System32\taskkill.exe
  86. 动作:结束进程
  87. 路径:C:\Windows\System32\Taskmgr.exe
  88. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  89. 拦截补充描述:可疑程序结束该进程可能会引发安全风险或未知电脑故障。如果您不认识此程序,请阻止。

  91. 防护信息: AD|43, 617|40, 40, -1||

  93. 2026-04-20 14:32:53        [已阻止]          结束进程        防护 1 次
  94. 详细描述:
  95. 进程:C:\Windows\System32\taskkill.exe
  96. 动作:结束进程
  97. 路径:C:\Windows\System32\Taskmgr.exe
  98. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  99. 拦截补充描述:可疑程序结束该进程可能会引发安全风险或未知电脑故障。如果您不认识此程序,请阻止。

  101. 防护信息: AD|43, 617|40, 40, -1||

  103. 2026-04-20 14:32:51        [已阻止]          结束进程        防护 1 次
  104. 详细描述:
  105. 进程:C:\Windows\System32\taskkill.exe
  106. 动作:结束进程
  107. 路径:C:\Windows\System32\Taskmgr.exe
  108. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  109. 拦截补充描述:可疑程序结束该进程可能会引发安全风险或未知电脑故障。如果您不认识此程序,请阻止。

  111. 防护信息: AD|43, 617|40, 40, -1||

  113. 2026-04-20 14:32:48        [已阻止]          结束进程        防护 1 次
  114. 详细描述:
  115. 进程:C:\Windows\System32\taskkill.exe
  116. 动作:结束进程
  117. 路径:C:\Windows\System32\Taskmgr.exe
  118. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  119. 拦截补充描述:可疑程序结束该进程可能会引发安全风险或未知电脑故障。如果您不认识此程序,请阻止。

  121. 防护信息: AD|43, 617|40, 40, -1||

  123. 2026-04-20 14:32:46        [已阻止]          结束进程        防护 1 次
  124. 详细描述:
  125. 进程:C:\Windows\System32\taskkill.exe
  126. 动作:结束进程
  127. 路径:C:\Windows\System32\Taskmgr.exe
  128. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  129. 拦截补充描述:可疑程序结束该进程可能会引发安全风险或未知电脑故障。如果您不认识此程序,请阻止。

  131. 防护信息: AD|43, 617|40, 40, -1||

  133. 2026-04-20 14:32:44        [已阻止]          结束进程        防护 1 次
  134. 详细描述:
  135. 进程:C:\Windows\System32\taskkill.exe
  136. 动作:结束进程
  137. 路径:C:\Windows\System32\Taskmgr.exe
  138. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  139. 拦截补充描述:可疑程序结束该进程可能会引发安全风险或未知电脑故障。如果您不认识此程序,请阻止。

  141. 防护信息: AD|43, 617|40, 40, -1||

  143. 2026-04-20 14:32:41        [已阻止]          进程创建        防护 1 次
  144. 详细描述:
  145. 进程:C:\Windows\System32\cmd.exe
  146. 动作:进程创建
  147. 路径:powershell
  148. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  149. 拦截补充描述:为了您的上网安全,如果您不认识此程序,请阻止此操作。

  151. 防护信息: AD|1, 243|40, 40, -1||

  153. 2026-04-20 14:32:35        [已阻止]          结束进程        防护 1 次
  154. 详细描述:
  155. 进程:C:\Windows\System32\taskkill.exe
  156. 动作:结束进程
  157. 路径:C:\Windows\System32\Taskmgr.exe
  158. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  159. 拦截补充描述:可疑程序结束该进程可能会引发安全风险或未知电脑故障。如果您不认识此程序,请阻止。

  161. 防护信息: AD|43, 617|40, 40, -1||

  163. 2026-04-20 14:32:33        [已阻止]          结束进程        防护 1 次
  164. 详细描述:
  165. 进程:C:\Windows\System32\taskkill.exe
  166. 动作:结束进程
  167. 路径:C:\Windows\System32\Taskmgr.exe
  168. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  169. 拦截补充描述:可疑程序结束该进程可能会引发安全风险或未知电脑故障。如果您不认识此程序,请阻止。

  171. 防护信息: AD|43, 617|40, 40, -1||

  173. 2026-04-20 14:32:30        [已阻止]          结束进程        防护 1 次
  174. 详细描述:
  175. 进程:C:\Windows\System32\taskkill.exe
  176. 动作:结束进程
  177. 路径:C:\Windows\System32\Taskmgr.exe
  178. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  179. 拦截补充描述:可疑程序结束该进程可能会引发安全风险或未知电脑故障。如果您不认识此程序,请阻止。

  181. 防护信息: AD|43, 617|40, 40, -1||

  183. 2026-04-20 14:32:15        [已阻止]          结束进程        防护 1 次
  184. 详细描述:
  185. 进程:C:\Windows\System32\taskkill.exe
  186. 动作:结束进程
  187. 路径:C:\Windows\System32\Taskmgr.exe
  188. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  189. 拦截补充描述:可疑程序结束该进程可能会引发安全风险或未知电脑故障。如果您不认识此程序,请阻止。

  191. 防护信息: AD|43, 617|40, 40, -1||

  193. 2026-04-20 14:32:08        [已阻止]          结束进程        防护 1 次
  194. 详细描述:
  195. 进程:C:\Windows\System32\taskkill.exe
  196. 动作:结束进程
  197. 路径:C:\Windows\System32\Taskmgr.exe
  198. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  199. 拦截补充描述:可疑程序结束该进程可能会引发安全风险或未知电脑故障。如果您不认识此程序,请阻止。

  201. 防护信息: AD|43, 617|40, 40, -1||

  203. 2026-04-20 14:31:05        [已阻止]          结束进程        防护 1 次
  204. 详细描述:
  205. 进程:C:\Windows\System32\taskkill.exe
  206. 动作:结束进程
  207. 路径:C:\Windows\System32\Taskmgr.exe
  208. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  209. 拦截补充描述:可疑程序结束该进程可能会引发安全风险或未知电脑故障。如果您不认识此程序,请阻止。

  211. 防护信息: AD|43, 617|40, 40, -1||

  213. 2026-04-20 14:30:59        [已阻止]          结束进程        防护 1 次
  214. 详细描述:
  215. 进程:C:\Windows\System32\taskkill.exe
  216. 动作:结束进程
  217. 路径:C:\Windows\System32\Taskmgr.exe
  218. 风险文件:C:\Users\123aaa\AppData\Local\Temp\elevate.vbs
  219. 拦截补充描述:可疑程序结束该进程可能会引发安全风险或未知电脑故障。如果您不认识此程序,请阻止。

  221. 防护信息: AD|43, 617|40, 40, -1||
复制代码

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

scottxzt
发表于 4 小时前 | 显示全部楼层
本帖最后由 scottxzt 于 2026-4-20 16:27 编辑

MD扫描剩余5X,之后运行测试,全部被ASR给摁死在摇篮里

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Xopii
发表于 4 小时前 | 显示全部楼层
EIS扫描之后剩余7个
回复

举报

ELOHIM
发表于 1 小时前 | 显示全部楼层
scottxzt 发表于 2026-4-20 16:25
MD扫描剩余5X,之后运行测试,全部被ASR给摁死在摇篮里

可否一试SAC。
回复

举报

scottxzt
发表于 半小时前 | 显示全部楼层
ELOHIM 发表于 2026-4-20 20:05
可否一试SAC。

SAC没有启用
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2026-4-20 21:10 , Processed in 0.086881 second(s), 3 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表