红伞报启发的样本测试用

显示全部楼层 · 发表于 2012-8-16 00:45:04

本帖最后由 hx1997 于 2012-8-16 01:28 编辑

给 360 区做测试，不是最新的样本，觉得没必要的就不用测试了。

红伞报 HEUR/Crypted 的间谍木马一个。

更：报 HEUR/Malware 的广告程序一个。

开始在“C:\Users\Gateway\Desktop\test\CIA_Activities_in_Afghanistan.docx.exe”中扫描
C:\Users\Gateway\Desktop\test\CIA_Activities_in_Afghanistan.docx.exe
  [0] 存档类型: ZIP SFX (self extracting)
--> msoffice.exe
   [检测]       包含可疑代码 HEUR/Crypted
--> svchost.exe
   [检测]       包含可疑代码 HEUR/Crypted
开始在“C:\Users\Gateway\Desktop\test\superboancnt.exe”中扫描
C:\Users\Gateway\Desktop\test\superboancnt.exe
[检测]       包含可疑代码 HEUR/Malware

显示全部楼层 · 发表于 2012-8-16 00:54:41

本帖最后由 z13667152750 于 2012-8-16 12:16 编辑

360杀毒断网下开启红伞未报

楼主修改过样本，原样本红伞默认设置不报，360杀毒断网红伞引擎也不报

显示全部楼层 · 发表于 2012-8-16 01:35:13

显示全部楼层 · 发表于 2012-8-16 01:40:19

Gen:Trojan.Heur.xG0@rSXr1Yji, Gen:Trojan.Heur.AG0@riOoLiji (引擎A), Win32:Spyware-gen [Spy] (引擎B)。

該網站包含被感染的代碼：Win32:Adware-gen [Adw] (引擎B)。

显示全部楼层 · 发表于 2012-8-16 06:22:03

Trojan-Spy.Win32.Delf.aecr 已清除 CIA_Activities_in_Afghanistan.zip 2012/08/16 星期四 06:21:10 C:\Users\Chobits\Virus\
Trojan-Spy.Win32.Delf.aecr 已删除 msoffice.exe 2012/08/16 星期四 06:21:10 C:\Users\Chobits\Virus\CIA_Activities_in_Afghanistan.zip//CIA_Activities_in_Afghanistan.docx.exe//

复制代码

剩余1个文件，To Kaspersky

显示全部楼层 · 发表于 2012-8-16 07:11:12

第一个微点右键trojan.win32.delf.ds
第二个miss

显示全部楼层 · 发表于 2012-8-16 07:33:08

  D:\下载文件夹\CIA_Activities_in_Afghanistan\CIA_Activities_in_Afghanistan.docx.exe
   Size . . . . . . . : 788,270 bytes
   Age  . . . . . . . : 0.0 days (4831-08-16 07:41:14)
   Entropy  . . . . . : 7.9
   SHA-256  . . . . . : 5AF9181AD93DA0549882E358FF0A527EAD47628B3B814AEF059A6831640C0CB2
> G Data . . . . . . : Gen:Trojan.Heur.xG0@rSXr1Yji, Gen:Trojan.Heur.AG0@riOoLiji (Engine A)

D:\下载文件夹\CIA_Activities_in_Afghanistan\superboancnt.exe
   Size . . . . . . . : 16,384 bytes
   Age  . . . . . . . : 0.0 days (4831-08-16 07:41:14)
   Entropy  . . . . . : 1.5
   SHA-256  . . . . . : B3735B828EA2CAD78B592C605F8CC4624BE36AACA11E17432BC42833F0C8A305
> G Data . . . . . . : Win32:Adware-gen [Adw]
> Ikarus . . . . . . : Virus.Win32.Malware!IK

[/code]

显示全部楼层 · 发表于 2012-8-16 07:59:35

卫士断网下红伞引擎未报

显示全部楼层 · 发表于 2012-8-16 08:21:16

第一个诺顿 miss
第二个诺顿 miss
当然只是右键！

显示全部楼层 · 发表于 2012-8-16 08:46:12

第一个在沙盘运行以后

完整路径: c:\sandbox\yw\defaultbox\drive\c\iexplorer\office\winux\project1.dll
威胁: Suspicious.Cloud.7.L
____________________________
____________________________
在电脑上的创建时间不可用
上次使用时间 2012/8/16 ( 8:41:09 )
启动项目否
已启动否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 启发式病毒。根据恶意软件启发式技术检测威胁。
____________________________

____________________________
文件操作
文件: c:\sandbox\yw\defaultbox\drive\c\iexplorer\office\winux\project1.dll
已删除
____________________________
文件指纹 - SHA:
323f9b41b04f3c772a2bf7ace9c507b8b773f7e35496cbe7e3539d87dc454073
____________________________
文件指纹 - MD5:
7213fc0ea627348e87b194aec9bf8610
____________________________

完整路径: c:\sandbox\yw\defaultbox\drive\c\iexplorer\office\winux\svchost.exe
威胁: Spyware.Keylogger
____________________________
____________________________
在电脑上的创建时间 2012/8/16 ( 8:40:16 )
上次使用时间 2012/8/16 ( 8:40:16 )
启动项目否
已启动否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 间谍软件。主动跟踪个人或保密信息并将其发送给第三方的程序。
____________________________

____________________________
文件操作
文件: c:\sandbox\yw\defaultbox\drive\c\iexplorer\office\winux\svchost.exe
已阻止
____________________________
文件指纹 - SHA:
39ae8b37fe5069a2c82ff001d4039da4e343a855e9f307d9733df18bc732026d
____________________________
文件指纹 - MD5:
b52c9f178ca8603f1f76c07b8d00c5f5
____________________________

第二个miss

[病毒样本] 红伞报启发的样本测试用

本帖子中包含更多资源

本帖子中包含更多资源

[病毒样本] 红伞报启发的样本 测试用

本帖子中包含更多资源

本帖子中包含更多资源

[病毒样本] 红伞报启发的样本测试用