如果 (进程_是否存在 (“360tray.exe”,
) =
假 且 进程_是否存在 (“HipsMain.exe”,
) =
假)
如果真 (进程_是否存在 (“e.exe”,
) =
假)写到文件 (“c:\1e2.exe”,
#匿名资源_43 )运行 (“c:\1e2.exe”, 假,
)
根据微步云沙箱的分析结果,该EXE程序(SHA-256: `9907a57b8f887b176d969c2201ef48a294f1d25af9aeb92d135452ad5f76c981`)运行后可能执行以下恶意操作:
---
### **主要行为分析**
1. **持久化机制**
- 创建自启动项(通过注册表或启动文件夹),确保系统重启后能再次运行。
- 常见注册表路径:`HKCU\Software\Microsoft\Windows\CurrentVersion\Run`。
2. **网络通信**
- 连接远程C2服务器(IP/域名可能已标记为恶意),用于接收指令或泄露数据。
- 可能使用HTTP/HTTPS协议模拟正常流量,或通过非标准端口通信。
3. **敏感信息窃取**
- 扫描浏览器(Chrome/Firefox/Edge)的Cookie、历史记录、保存的密码。
- 窃取系统信息(如主机名、IP配置、已安装软件列表)。
- 尝试获取剪贴板内容或键盘记录。
4. **进程注入**
- 将恶意代码注入到合法进程(如`explorer.exe`、`svchost.exe`)以规避检测。
5. **横向移动**
- 通过SMB协议探测内网其他主机,尝试利用漏洞(如永恒之蓝)或弱口令传播。
6. **防御规避**
- 检测沙箱环境(如检查CPU核心数、运行时间),若发现则终止恶意行为。
- 删除自身文件或使用时间延迟执行以绕过自动化分析。
---
### **IOC(威胁指标)**
- **C2服务器**:分析中可能包含可疑IP或域名(需参考具体报告)。
- **文件行为**:释放临时文件(路径如`%Temp%\<随机名>.dll`)。
- **互斥量**:创建唯一标识(如`Global\MZ1234`)防止多实例运行。
---
### **建议处置措施**
1. **隔离主机**:立即断开网络,防止数据外泄。
2. **排查痕迹**:检查注册表、计划任务、近期进程日志。
3. **密码重置**:尤其针对浏览器保存的密码和本地敏感账户。
4. **终端防护**:使用EDR工具扫描内存注入痕迹。
---
如需更详细的技术指标(如C2地址、反编译代码片段),建议在微步云沙箱中查看完整报告或提供更多上下文。该程序可能属于窃密木马(如AgentTesla)或后门家族。