【SECO2013-8-0702】Trojan（回归撸）

思齐鼠

Security Observer回归
启用新的域名：Http://www.atvirus.net
样本上报邮箱：sample@atvirus.net
__________________________________________________
病毒样本概要

样本编号：SECO2013-8-0702
样本标题：Trojan
提交作者：Mr.Bi
提交时间：2013-8-07
公开时间：未知
病毒类型：木马类
感染平台：windows系列
M D 5：9DD4F5C7B32479ECD0CBEBEF062C**3E
大 小：968840 字节
病毒简介:
伪装成音频文件，骗取用户点击

样本状态

平台厂商
2013-8-07 11：50 火绒：已经受理并响应（响应速度：★★★★★）
2013-8-07 11：26 360：上报之前已经侦测，已经响应
2013-8-07 11：26 百度：目前仍未收到回复

主流反病毒厂商：
2013-8-07 11：36 微点：已经受理并响应
如果您是反病毒厂商认为本平台的样本有价值，可以加入平台获取，详情请见：http://www.atvirus.net/?p=1519

病毒样本详情：

披露状态：
2013-8-07 Security Observer确认此病毒样本并向主流反病毒厂商发出预警
2013-8-10 Security Observer按照样本公开流程，对外公开样本
样本下载地址：http://pan.baidu.com/share/link? ... 7&uk=3442776857
密码：virus

样本分析：
暂无数据

响应状态：
2013-8-07 截止目前暂未收到上述安全实验室响应回复邮件

厂商回应：
火绒安全实验室（Security Observer安全响应平台厂商）
外层混淆的注入器，包裹的恶意代码通过注入explorer进程实现功能。国外样本，多见于国内安全软件的扫描测试。
Rank 4（火绒评级）

百度安全实验室（Security Observer安全响应平台厂商）
暂未收到回复
Rank *

版权声明：转载请注明来源 @Mr.Bi@Security Observer
样本审核：admin

vm001

楼主提供一些样本貌似都不算流行病毒.....
这些样本在国内正常上网的话估计打着灯笼也不会遇到

skycai

vm001 发表于 2013-8-11 08:37
楼主提供一些样本貌似都不算流行病毒.....
这些样本在国内正常上网的话估计打着灯笼也不会遇到

度娘国际版无压力。


从国外某些网站上找的所谓新奇样本。。。。。

思齐鼠

vm001 发表于 2013-8-11 08:37
楼主提供一些样本貌似都不算流行病毒.....
这些样本在国内正常上网的话估计打着灯笼也不会遇到

1.平台刚刚起步样本数量还是比较局促，我们放宽审核条件。前途是光明的，道路是曲折的。
2.这是国外的hunter提交的，综合考量了一下国际的影响，Security Observe以后肯定不仅仅局限于处理国内样本，当然暂时重点是在国内（当然这个我说了不算），如果你有国内的好样本的话可以提交给我们
sample@atvirus.net
骚年，让我们看看你的实力

翔无痕

解压，vse杀

vm001

思齐鼠 发表于 2013-8-11 08:45
1.平台刚刚起步样本数量还是比较局促，我们放宽审核条件。前途是光明的，道路是曲折的。
2.这是国外的 ...

在国内，现在主要是流氓推广，流氓安装一些流氓软件为主了，安全威胁变了..
至于木马现在无非2类..游戏玩家的白+黑，这个貌似被金山拦截的也快销声匿迹了..
另一个就是网购木马，这类你看没多少技术东西，都是想一个猥琐的方式利用，这类也不算多..

jll0574

eset
2013/8/11 9:09:27        文件系统实时防护        文件        E:\A\9DD4F5C7B32479ECD0CBEBEF062C213E\sample.exe        Win32/Kryptik.BHJL 特洛伊木马 的变种        通过删除清除 - 已隔离

ywsuda

安全威脅:        TROJ_RANSOM.SM06
來源類型:        安全威脅
受影響的檔案:        C:\Users\yw\Desktop\sample.exe
處理行動:        已移除
偵測方式:        即時掃瞄

handsomechen

Q管自己引擎杀！

llcy

毒霸