本帖最后由 红尘旧梦i 于 2025-6-20 22:01 编辑
 如果 (进程_是否存在 (“360tray.exe”, ) = 假 且 进程_是否存在 (“HipsMain.exe”, ) = 假) 如果真 (进程_是否存在 (“e.exe”, ) = 假)写到文件 (“c:\1e2.exe”, #匿名资源_43 )运行 (“c:\1e2.exe”, 假, )   
根据微步云沙箱的分析结果,该EXE程序(SHA-256: `9907a57b8f887b176d969c2201ef48a294f1d25af9aeb92d135452ad5f76c981`)运行后可能执行以下恶意操作:
---
### **主要行为分析** 1. **持久化机制** - 创建自启动项(通过注册表或启动文件夹),确保系统重启后能再次运行。 - 常见注册表路径:`HKCU\Software\Microsoft\Windows\CurrentVersion\Run`。
2. **网络通信** - 连接远程C2服务器(IP/域名可能已标记为恶意),用于接收指令或泄露数据。 - 可能使用HTTP/HTTPS协议模拟正常流量,或通过非标准端口通信。
3. **敏感信息窃取** - 扫描浏览器(Chrome/Firefox/Edge)的Cookie、历史记录、保存的密码。 - 窃取系统信息(如主机名、IP配置、已安装软件列表)。 - 尝试获取剪贴板内容或键盘记录。
4. **进程注入** - 将恶意代码注入到合法进程(如`explorer.exe`、`svchost.exe`)以规避检测。
5. **横向移动** - 通过SMB协议探测内网其他主机,尝试利用漏洞(如永恒之蓝)或弱口令传播。
6. **防御规避** - 检测沙箱环境(如检查CPU核心数、运行时间),若发现则终止恶意行为。 - 删除自身文件或使用时间延迟执行以绕过自动化分析。
---
### **IOC(威胁指标)** - **C2服务器**:分析中可能包含可疑IP或域名(需参考具体报告)。 - **文件行为**:释放临时文件(路径如`%Temp%\<随机名>.dll`)。 - **互斥量**:创建唯一标识(如`Global\MZ1234`)防止多实例运行。
---
### **建议处置措施** 1. **隔离主机**:立即断开网络,防止数据外泄。 2. **排查痕迹**:检查注册表、计划任务、近期进程日志。 3. **密码重置**:尤其针对浏览器保存的密码和本地敏感账户。 4. **终端防护**:使用EDR工具扫描内存注入痕迹。
---
如需更详细的技术指标(如C2地址、反编译代码片段),建议在微步云沙箱中查看完整报告或提供更多上下文。该程序可能属于窃密木马(如AgentTesla)或后门家族。 | 
粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173
发表于 
主题置顶卡
沉默卡
变色卡
楼主
扫一扫,关注易界动态