查看: 7417|回复: 24
收起左侧

[病毒样本] 又见一些普通的不能再普通的流氓下载器和捆绑

[复制链接]
而我到底是谁
发表于 2016-9-28 15:28:48 | 显示全部楼层 |阅读模式
欧阳宣
头像被屏蔽
发表于 2016-9-28 15:32:17 | 显示全部楼层
本帖最后由 欧阳宣 于 2016-9-28 15:36 编辑

avira检测2个

D:\Virus\Downloads\8.exe
  [DETECTION] Contains recognition pattern of the APPL/Wews87.AI application
  [NOTE]      The file was moved to the quarantine directory under the name '4632f12c.qua'!
D:\Virus\Downloads\6.exe (SHA-256: af86b0d841144933c72fa89c0d08bed886fb147e45d87e238d3049242ffd7c36)
  [DETECTION] Contains recognition pattern of the SPR/YouXun.af86b0 (Cloud) program
  [NOTE]      The file was moved to the quarantine directory under the name '146dabda.qua'!
轩夏
发表于 2016-9-28 15:56:16 | 显示全部楼层
MSE miss
fireherman
发表于 2016-9-28 16:13:26 | 显示全部楼层
ESET 拦截 & 砍人



[mw_shl_code=css,true]http://nj02all01.baidupcs.com/file/b68962dc24f757fe80244e61183f904f?bkt=p3-00005569c24828999da99ab666cf5fd796ed&fid=1308677686-250528-670289021750592&time=1475050087&sign=FDTAXGERLBH-DCb740ccc5511e5e8fedcff06b081203-Da9NFGLxYGj8tx+aUXjoRy1wbqc=&to=nj2hb&fm=Yan,B,T,t&sta_dx=29338293&sta_cs=12&sta_ft=zip&sta_ct=0&sta_mt=0&fm2=Yangquan,B,T,t&newver=1&newfm=1&secfm=1&flow_ver=3&pkey=00005569c24828999da99ab666cf5fd796ed&sl=74186831&expires=8h&rt=sh&r=715524991&mlogid=6300847949736913443&vuk=-&vbdid=733083939&fin=Downloads.zip&fn=Downloads.zip&slt=pm&uta=0&rtype=1&iv=0&isw=0&dp-logid=6300847949736913443&dp-callid=0.1.1&csl=435&csign=HLTCSsNsOUnRvZORqRWHgoaLfwE=        Win32/RiskWare.YouXun.E 应用程序 的变种        连接中断        通过应用程序访问 web 时检测到威胁: C:\Program Files\Mozilla Firefox\firefox.exe.               
http://nj02all01.baidupcs.com/fi ... to=nj2hb&fm=Yan,B,T,t&sta_dx=29338293&sta_cs=12&sta_ft=zip&sta_ct=0&sta_mt=0&fm2=Yangquan,B,T,t&newver=1&newfm=1&secfm=1&flow_ver=3&pkey=00005569c24828999da99ab666cf5fd796ed&sl=74186831&expires=8h&rt=sh&r=715524991&mlogid=6300847949736913443&vuk=-&vbdid=733083939&fin=Downloads.zip&fn=Downloads.zip&slt=pm&uta=0&rtype=1&iv=0&isw=0&dp-logid=6300847949736913443&dp-callid=0.1.1&csl=435&csign=HLTCSsNsOUnRvZORqRWHgoaLfwE= > ZIP > 1.exe        Win32/RiskWare.YouXun.E 应用程序 的变种        连接中断                       
http://nj02all01.baidupcs.com/fi ... to=nj2hb&fm=Yan,B,T,t&sta_dx=29338293&sta_cs=12&sta_ft=zip&sta_ct=0&sta_mt=0&fm2=Yangquan,B,T,t&newver=1&newfm=1&secfm=1&flow_ver=3&pkey=00005569c24828999da99ab666cf5fd796ed&sl=74186831&expires=8h&rt=sh&r=715524991&mlogid=6300847949736913443&vuk=-&vbdid=733083939&fin=Downloads.zip&fn=Downloads.zip&slt=pm&uta=0&rtype=1&iv=0&isw=0&dp-logid=6300847949736913443&dp-callid=0.1.1&csl=435&csign=HLTCSsNsOUnRvZORqRWHgoaLfwE= > ZIP > 10.exe                        压缩文件已损坏 - 文件无法解压。               
http://nj02all01.baidupcs.com/fi ... to=nj2hb&fm=Yan,B,T,t&sta_dx=29338293&sta_cs=12&sta_ft=zip&sta_ct=0&sta_mt=0&fm2=Yangquan,B,T,t&newver=1&newfm=1&secfm=1&flow_ver=3&pkey=00005569c24828999da99ab666cf5fd796ed&sl=74186831&expires=8h&rt=sh&r=715524991&mlogid=6300847949736913443&vuk=-&vbdid=733083939&fin=Downloads.zip&fn=Downloads.zip&slt=pm&uta=0&rtype=1&iv=0&isw=0&dp-logid=6300847949736913443&dp-callid=0.1.1&csl=435&csign=HLTCSsNsOUnRvZORqRWHgoaLfwE= > ZIP >                         压缩文件已损坏                [/mw_shl_code]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ccboxes
发表于 2016-9-28 16:28:09 | 显示全部楼层
BD  Kill 0x

详细测试如下

样本  1、3、4、7无法在Win10运行,不知行为,其中3、7损坏

样本  2、6、8、9为安装包。
2号样本附带大量推广,但均可取消,安装后可正常卸载。
6、8号样本为页游启动器,6号一切正常,8号试图访问被BD标记为不安全的网址,两样本均为静默安装,但可正常卸载。
9号样本为静默安装,安装后可正常卸载。

5号样本打开官方淘宝网页后自动退出,送交魔盾分析

10号样本被ATC击杀,送交魔盾分析。

这种模棱两可的样本还真是不好办。
心醉咖啡
发表于 2016-9-28 16:31:15 | 显示全部楼层
360杀毒扫描日志

病毒库版本:
扫描时间:2016-09-28 16:30:01
扫描用时:00:00:31
扫描类型:右键扫描
扫描文件总数:3189
项目总数:1
清除项目数:1

扫描选项
----------------------
扫描所有文件:是
扫描压缩包:是
发现病毒处理方式:由用户选择处理
扫描磁盘引导区:是
扫描 Rootkit:是
使用云查杀引擎:是
使用QVM人工智能引擎:是
扫描建议修复项:是
常规引擎设置:未使用

扫描内容
----------------------
F:\浏览器下载\Downloads.zip


白名单设置
----------------------


扫描结果
======================
高危风险项
----------------------
F:\浏览器下载\Downloads.zip=>1.exe        感染型病毒(Win32/Trojan.97a)        已删除
而我到底是谁
 楼主| 发表于 2016-9-28 16:43:57 | 显示全部楼层
本帖最后由 而我到底是谁 于 2016-9-28 16:52 编辑
ccboxes 发表于 2016-9-28 16:28
BD  Kill 0x

详细测试如下


win10不能运行的有点6 啊
淘宝和页游启动器都是我在安装一个破解游戏过程中被踢进隔离区后我又恢复出来的。
然后其实是我最近在整理现有的主流下载站中哪些是完全绿色的。然后顺便发些东西上来。
ccboxes
发表于 2016-9-28 16:50:06 | 显示全部楼层
而我到底是谁 发表于 2016-9-28 16:43
10不能运行的有点6 啊
淘宝和页游启动器都是我在安装一个破解游戏过程中被踢进隔离区后我又恢复出来的 ...

10是被ATC杀了,不过看你标题是流氓与捆绑。我也不太清楚是不是误报,去魔盾分析了一下,有查找浏览器窗口,检测虚拟环境的行为,看来好像是毒。
而我到底是谁
 楼主| 发表于 2016-9-28 16:53:43 | 显示全部楼层
ccboxes 发表于 2016-9-28 16:50
10是被ATC杀了,不过看你标题是流氓与捆绑。我也不太清楚是不是误报,去魔盾分析了一下,有查找浏览器窗 ...

我打包进好压之后,也只有10显示危险,其他都是未知。
小小瞻
发表于 2016-9-28 17:01:31 | 显示全部楼层
本帖最后由 小小瞻 于 2016-9-28 17:03 编辑

BullGuard:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 20:24 , Processed in 0.133321 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表