文章总结： 奇安信天穹沙箱团队发现XRed家族新型Delphi蠕虫病毒SB360.exe，该样本通过伪装合法软件、多级文件释放、创建系统服务及伪装Synaptics驱动自启动等方式实现持久化驻留，并与多个动态域名通信。分析揭示了其复杂的进程攻击链，包括利用svchost.exe加载恶意DLL等隐蔽手段，提供了完整的恶意文件MD5和IOC情报。 综合评分： 85 文章分类： 恶意软件,威胁情报,漏洞分析,安全工具,应急响应

【天穹】新年伊始，未知文件别乱点

星图实验室 星图实验室

奇安信技术研究院

2026年3月2日 17:48 北京

一、概述

近期，天穹沙箱团队在常规样本狩猎分析工作中，发现 XRed 家族最新变种—一款基于 Delphi 编写的蠕虫病毒，该样本通过伪装成合法软件、多进程落地执行等手段，试图规避安全检测，并实现对受害主机的持久驻留。

二、样本信息

• 样本名: SB360.exe

• SHA1: 0dc1b2aa1b7e628c2c85dfda891683dd13af845a

• 文件类型: EXE

• 文件大小: 5.31 MB

• 家族归属: XRed家族

• 报告链接:

  天穹沙箱分析报告

三、样本分析

图1 样本进程攻击执行链

样本进程 SB360.exe 执行后释放文件 ._cache_SB360.exe，并将该文件属性修改为隐藏以降低被用户发现的概率，随后立即执行该文件。同时，样本进程通过创建名为 Synaptics Pointing Device Driver 的自启动项建立持久化机制，使 Synaptics.exe 在系统启动时自动运行，如图 2 所示。Synaptics.exe 启动后会访问域名 xred[.]mooo[.]com 和 freedns[.]afraid[.]org 进行网络通信，如图 3 所示。

图2 设置 Synaptics 自启动项

图3 Synaptics 访问域名

._cache_SB360.exe 进程随后释放 HD_._cache_SB360.exe 和 svchost.exe 文件，并通过创建系统服务的方式运行 svchost.exe，从而间接执行 HD_._cache_SB360.exe 文件。同时，该进程还设置 ._cache_SB360.exe 自身以及 HD_ls.exe 为开机自启动程序，并访问域名 qq678833[.]f08[.]87yun[.]club。如图 4、5、6 所示。

图4 设置 ._cache_SB360.exe 自启动

图5 设置 HD_ls.exe 自启动

图6 ._cache_SB360.exe 访问域名

HD_._cache_SB360.exe 释放并执行 ._cache_HD_._cache_SB360.exe 文件。._cache_HD_._cache_SB360.exe 进程进一步释放并执行 HD_._cache_HD_._cache_SB360.exe 和 GLk.exe 程序。如图 7 所示。

图7 创建子进程

HD_._cache_HD_._cache_SB360.exe 进程将自身拷贝到 C:\WINDOWS\System32\Abrst.exe 并创建系统服务，访问域名 5614894156aa[.]e1[.]luyouxia[.]net。如图 8、9、10 所示。

图8 复制自身

图9 创建系统服务

图10 Abrst.exe 访问域名

GLk.exe 进程会创建系统服务，并利用系统 svchost.exe 加载 53727812.bat(实际为 DLL 文件)以实现持久化驻留，并访问域名 kinh[.]xmcxmr[.]com。如图 11、12 所示。

图11 加载模块实现持久化

图12 GLK.exe 访问域名

沙箱报告进程信息部分展示了样本执行过程释放和创建子进程执行的逻辑关系，如图 13 所示。

图13 样本进程信息

综上分析，该样本在执行后通过多级释放和执行子文件的方式构建了较为复杂的恶意执行链。SB360.exe 作为初始入口程序，通过释放并执行隐藏文件 ._cache_SB360.exe 实现后续恶意模块的加载。同时，攻击者利用伪装为系统驱动组件的自启动项 Synaptics Pointing Device Driver 建立初始持久化机制，并通过 Synaptics.exe 与外部域名建立通信。

随后，恶意程序通过持续释放新的可执行文件（如 HD_._cache_SB360.exe、._cache_HD_._cache_SB360.exe、GLk.exe 等）逐级扩展其功能，并通过创建系统服务、设置开机自启动等方式实现多重持久化。同时，样本利用 svchost.exe 加载恶意组件以提高隐蔽性，并通过多个动态域名与外部服务器保持通信，从而实现远程控制或后续载荷的下载执行。

四、IOC

恶意文件（MD5）

7f9f21ed23c68b5452945d6595ba589 SB360.exe95eb3a84be9bd0ae9e970f95df889584 ._cache_SB360.exee6602803d2908eb659e19d7bb39a2a8c svchost.exebc83f5c2166951713d82178e0e8bb5a8 Synaptics.exe

恶意IOC

kinh[.]xmcxmr[.]comxred[.]mooo[.]comqq678833[.]f08[.]87yun[.]club

报告链接：天穹沙箱分析报告

天穹智能分析平台（联系我们申请账号）：https://sandbox.qianxin.com

天穹智能分析平台持续迭代升级，致力于为每一位样本分析人员打造更高效、更智能、更易用的分析平台——这始终是我们不变的初心与追求。

如果您希望深入了解平台功能，或在使用过程中遇到任何问题，欢迎随时联系我们。您的反馈，是我们进步的重要动力！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信技术研究院 星图实验室 星图实验室《【天穹】新年伊始，未知文件别乱点》