文章总结： 这篇文章分析了2025年10月发现的一个黑猫恶意软件样本，该样本采用白加黑技术躲避杀毒软件检测，通过解密文件执行动态代码，具备进程注入、剪切板监测、USB监测等功能。样本创建了特定目录文件，并与已被标记为黑猫团伙的域名进行通信。文章提供了样本的哈希值、相关域名和IP地址，为安全研究人员提供了识别和防范此类恶意软件的参考信息。 综合评分： 86 文章分类： 恶意软件,威胁情报,漏洞分析,应急响应

样本分析 | 2025年某黑猫样本分析小记

原创

俺不是鸡哥

渗透结束-非常安全

2025年11月11日 10:12 北京

前言

这里简单记录一下某黑猫样本分析过程，如有写的不正确的地方欢迎各位师傅指正。

样本是2025年10月30号从员工电脑中获取到的，当时上传到微步沙箱还是首次提交，并且已被标记为银狐。

查看

定位到ress目录中的文件

M9OLUM4P.exe和libcef.dll文件

该程序采用白加黑的方式，试图来躲避杀毒软件的查杀

签名者姓名：杭州博世数据网络有限公司

时间：2019年10月28日 16:05:59

读取同目录下的M9OLUM4P.AD1AE文件

读取同目录下的M9OLUM4P.1CCE文件

通过从文件中解密操作，并调用执行动态代码

继续查看，首先检查互斥体避免多次执行，存在就退出程序

从注册表中获取来判断是否启动功能，进程注入、剪切板监测、USB监测等

创建文件

路径：

C:\Users\用户名称\AppData\Roaming\M9OLUM4P\Default

地址：

监听剪切板

外链域名

外链域名

并且该域名在2025年9月底已被标记为黑猫团伙

结束

最后

那么有人问了，鸡哥鸡哥，银狐和黑猫的区别是什么？

其实俺也不知道，直接问下微步提供的XGPT

Hash值：

64527f7e625f8367e5383eee907b3cb8819bae44b343d598cfffd4d75535e770

域名：

sbido.com

xumeno.com

IP地址：

206.119.64.108:2869

查看原文：《样本分析 | 2025年某黑猫样本分析小记》