楼主: 神龟Turmi
收起左侧

[病毒样本] 缉毒卫队测试包 第一期 20170117

  [复制链接]
小飞侠.net
发表于 2017-1-18 01:20:17 来自手机 | 显示全部楼层
INnoVation 发表于 2017-1-17 23:38
百度杀毒扫描日志

扫描信息

bvm30?这类似于QVM?
tgzw1680
发表于 2017-1-18 01:21:34 | 显示全部楼层
b0022 发表于 2017-1-17 17:52
卡巴 8x
剩下02 07

02双击等N久后pdm消灭,07是doc,没办法双击。。。。没这东西
神龟Turmi
 楼主| 发表于 2017-1-18 01:29:52 | 显示全部楼层
tgzw1680 发表于 2017-1-18 01:21
02双击等N久后pdm消灭,07是doc,没办法双击。。。。没这东西

表示9号 远控 把我诺顿SONAR主动模式过了。。。还好不是感染马 手杀+删除启动项。。。
学雷锋做人
发表于 2017-1-18 01:33:46 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
神龟Turmi + 1 么么哒

查看全部评分

神龟Turmi
 楼主| 发表于 2017-1-18 01:39:59 | 显示全部楼层
学雷锋做人
发表于 2017-1-18 01:40:46 | 显示全部楼层
神龟Turmi 发表于 2017-1-18 01:39
雷锋,好久不见啊

是啊,9号样本过诺顿了?是哪个行为过的?
神龟Turmi
 楼主| 发表于 2017-1-18 01:45:41 | 显示全部楼层
学雷锋做人 发表于 2017-1-18 01:40
是啊,9号样本过诺顿了?是哪个行为过的?


不知道,反正诺顿没杀 SONAR主动模式下
在local目录生成了一个文件并且加入了启动项,看payload的分析应该是一个远控马

衍生物被我删了 没法贴图了

估计因为行为太简单了,如果是复杂的SONAR没理由不杀
卫队里其他基友测试SEP直接杀了,报的Downloader 目测云拉黑 但是个人版没有这个待遇。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
学雷锋做人
发表于 2017-1-18 02:00:22 | 显示全部楼层
神龟Turmi 发表于 2017-1-18 01:45
不知道,反正诺顿没杀 SONAR主动模式下
在local目录生成了一个文件并且加入了启动项,看payload的分析 ...

9号样本,我这里跑的信息
[mw_shl_code=css,true]1:57:39(10):(阻止)写注册表值:BaseClass

01:57:39(11):(手动允许)创建文件:\\.\MountPointManager

01:57:40(12):(手动允许)创建文件:\\.\MountPointManager

01:57:40(13):(阻止)写注册表值:BaseClass

01:57:40(14):(自动允许)读取文件:C:\WINDOWS\Registration\R000000000007.clb

01:57:40(15):(手动允许)创建文件:\\.\shadow

01:57:40(16):(阻止)创建文件:C:\WINDOWS\system32\shell32.dll     访问权限:-2147483392

01:57:40(17):(阻止)创建文件:C:\WINDOWS\system32\shell32.dll     访问权限:-2147483392

01:57:40(18):(阻止)创建文件:C:\WINDOWS\system32\shell32.dll     访问权限:-2147483392

01:58:02(19):(阻止)写注册表值:Local AppData

01:58:02(20):(自动允许)读取文件:C:\Documents and Settings\wang\桌面\File_safe\sl170117-09.exe%infected-Trojan.Banload

01:58:05(21):(手动允许)创建文件目录:C:\Documents and Settings\wang\Local Settings\Application Data\boot32jad

01:58:15(22):(阻止)下载文件:http://felizz2017.com/downloadseguro/maranhao.zip     保存目录:C:\Documents and Settings\wang\Local Settings\Application Data\boot32jad\VLWKUAYDXF7A

01:58:33(23):(安全环境)删除文件:C:\Documents and Settings\wang\Local Settings\Application Data\boot32jad\VLWKUAYDXF7A

01:58:42(24):(阻止)写注册表值:Cache

01:58:42(25):(阻止)设置文件属性:C:\Documents and Settings\wang\Local Settings\Temporary Internet Files

01:58:42(26):(阻止)写注册表值:Directory

01:58:42(27):(阻止)写注册表值:CacheLimit

01:58:42(28):(阻止)写注册表值:Cookies

01:58:42(29):(阻止)写注册表值:History

01:58:42(30):(阻止)设置文件属性:C:\Documents and Settings\wang\Local Settings\History

01:58:42(31):(阻止)设置文件属性:C:\Documents and Settings\wang\Local Settings\Temporary Internet Files\Content.IE5\

01:58:44(32):(手动允许)创建文件:C:\Documents and Settings\wang\Local Settings\Temporary Internet Files\Content.IE5\index.dat

01:58:45(33):(手动允许)创建文件:C:\Documents and Settings\wang\Local Settings\Temporary Internet Files\Content.IE5\index.dat

01:58:45(34):(阻止)设置文件属性:C:\Documents and Settings\wang\Cookies\

01:58:46(35):(手动允许)创建文件:C:\Documents and Settings\wang\Cookies\index.dat

01:58:47(36):(手动允许)创建文件:C:\Documents and Settings\wang\Cookies\index.dat

01:58:47(37):(阻止)设置文件属性:C:\Documents and Settings\wang\Local Settings\History\History.IE5\

01:58:48(38):(手动允许)创建文件:C:\Documents and Settings\wang\Local Settings\History\History.IE5\index.dat

01:58:48(39):(手动允许)创建文件:C:\Documents and Settings\wang\Local Settings\History\History.IE5\index.dat

01:58:48(40):(阻止)设置文件属性:C:\Documents and Settings\wang\Local Settings\Temporary Internet Files\Content.IE5\

01:58:48(41):(阻止)设置文件属性:C:\Documents and Settings\wang\Local Settings\History\History.IE5\

01:58:48(42):(阻止)打开网址资源:http://quevenha2017.com/conte12/notify.php[/mw_shl_code]
神龟Turmi
 楼主| 发表于 2017-1-18 02:04:11 | 显示全部楼层
学雷锋做人 发表于 2017-1-18 02:00
9号样本,我这里跑的信息
[mw_shl_code=css,true]1:57:39(10):(阻止)写注册表值:BaseClass

猜测是远控
http://quevenha2017.com/conte12/notify.php
这个地址非常像远控上线之后的反向连接回报
学雷锋做人
发表于 2017-1-18 02:05:55 | 显示全部楼层
神龟Turmi 发表于 2017-1-18 02:04
猜测是远控
http://quevenha2017.com/conte12/notify.php
这个地址非常像远控上线之后的反向连接回报

3号样本最没意思
[mw_shl_code=css,true]02:03:04(1):(自动允许)程序自身创建远程线程

02:03:04(2):(自动允许)程序自身创建远程线程

02:03:04(3):(自动允许)程序自身创建远程线程

02:03:04(4):(自动允许)程序自身创建远程线程

02:03:04(5):(自动允许)程序自身创建远程线程

02:03:04(6):(自动允许)读取文件:C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe

02:03:04(7):(阻止)删除注册表值:

02:03:04(8):(阻止)删除注册表值:

02:03:04(9):(阻止)删除注册表键:\

02:03:04(10):(阻止)写注册表值:Common AppData

02:03:04(11):(阻止)创建进程:regsvr32.exe

02:03:05(12):(阻止)结束进程:0(进程句柄)

02:03:05(13):(阻止)创建进程:"C:\WINDOWS\system32\regsvr32.exe"

02:03:06(14):(阻止)结束进程:0(进程句柄)

02:03:11(15):(阻止)创建进程:explorer.exe

02:03:12(16):(阻止)结束进程:0(进程句柄)

02:03:12(17):(阻止)创建进程:"C:\WINDOWS\explorer.exe"

02:03:13(18):(阻止)结束进程:0(进程句柄)

02:03:18(19):(阻止)创建进程:rundll32.exe

02:03:19(20):(阻止)结束进程:0(进程句柄)

02:03:19(21):(阻止)创建进程:"C:\WINDOWS\system32\rundll32.exe"

02:03:20(22):(阻止)结束进程:0(进程句柄)

02:03:25(23):(阻止)创建进程:"C:\Documents and Settings\wang\桌面\File_safe\sl170117-03.exe%infected-Trojan.Injector"

02:03:26(24):(阻止)结束进程:0(进程句柄)

02:03:31(25):(阻止)创建进程:regsvr32.exe

02:03:32(26):(阻止)结束进程:0(进程句柄)

02:03:32(27):(阻止)创建进程:"C:\WINDOWS\system32\regsvr32.exe"

02:03:33(28):(阻止)结束进程:0(进程句柄)

02:03:38(29):(阻止)创建进程:explorer.exe

02:03:39(30):(阻止)结束进程:0(进程句柄)

02:03:39(31):(阻止)创建进程:"C:\WINDOWS\explorer.exe"

02:03:40(32):(阻止)结束进程:0(进程句柄)

02:03:45(33):(阻止)创建进程:rundll32.exe

02:03:46(34):(阻止)结束进程:0(进程句柄)

02:03:46(35):(阻止)创建进程:"C:\WINDOWS\system32\rundll32.exe"

02:03:47(36):(阻止)结束进程:0(进程句柄)

02:03:52(37):(阻止)创建进程:"C:\Documents and Settings\wang\桌面\File_safe\sl170117-03.exe%infected-Trojan.Injector"

02:03:53(38):(阻止)结束进程:0(进程句柄)

02:03:58(39):(阻止)创建进程:regsvr32.exe

02:03:59(40):(阻止)结束进程:0(进程句柄)

02:03:59(41):(阻止)创建进程:"C:\WINDOWS\system32\regsvr32.exe"

02:04:00(42):(阻止)结束进程:0(进程句柄)

02:04:05(43):(阻止)创建进程:explorer.exe

02:04:06(44):(阻止)结束进程:0(进程句柄)

02:04:06(45):(阻止)创建进程:"C:\WINDOWS\explorer.exe"

02:04:07(46):(阻止)结束进程:0(进程句柄)

02:04:12(47):(阻止)创建进程:rundll32.exe

02:04:13(48):(阻止)结束进程:0(进程句柄)

02:04:13(49):(阻止)创建进程:"C:\WINDOWS\system32\rundll32.exe"

02:04:14(50):(阻止)结束进程:0(进程句柄)

02:04:19(51):(阻止)创建进程:"C:\Documents and Settings\wang\桌面\File_safe\sl170117-03.exe%infected-Trojan.Injector"

02:04:20(52):(阻止)结束进程:0(进程句柄)

02:04:25(53):(阻止)创建进程:regsvr32.exe

02:04:26(54):(阻止)结束进程:0(进程句柄)

02:04:26(55):(阻止)创建进程:"C:\WINDOWS\system32\regsvr32.exe"

02:04:27(56):(阻止)结束进程:0(进程句柄)

02:04:32(57):(阻止)创建进程:explorer.exe

02:04:33(58):(阻止)结束进程:0(进程句柄)

02:04:33(59):(阻止)创建进程:"C:\WINDOWS\explorer.exe"

02:04:34(60):(阻止)结束进程:0(进程句柄)

02:04:39(61):(阻止)创建进程:rundll32.exe

02:04:40(62):(阻止)结束进程:0(进程句柄)

02:04:40(63):(阻止)创建进程:"C:\WINDOWS\system32\rundll32.exe"

02:04:41(64):(阻止)结束进程:0(进程句柄)

02:04:46(65):(阻止)创建进程:"C:\Documents and Settings\wang\桌面\File_safe\sl170117-03.exe%infected-Trojan.Injector"

02:04:47(66):(阻止)结束进程:0(进程句柄)

02:04:52(67):(阻止)创建进程:regsvr32.exe

02:04:53(68):(阻止)结束进程:0(进程句柄)

02:04:53(69):(阻止)创建进程:"C:\WINDOWS\system32\regsvr32.exe"

02:04:54(70):(阻止)结束进程:0(进程句柄)

02:04:59(71):(阻止)创建进程:explorer.exe

02:05:00(72):(阻止)结束进程:0(进程句柄)

02:05:00(73):(阻止)创建进程:"C:\WINDOWS\explorer.exe"

02:05:01(74):(阻止)结束进程:0(进程句柄)

02:05:06(75):(阻止)创建进程:rundll32.exe

02:05:07(76):(阻止)结束进程:0(进程句柄)

02:05:07(77):(阻止)创建进程:"C:\WINDOWS\system32\rundll32.exe"

02:05:08(78):(阻止)结束进程:0(进程句柄)

02:05:13(79):(阻止)创建进程:"C:\Documents and Settings\wang\桌面\File_safe\sl170117-03.exe%infected-Trojan.Injector"

02:05:14(80):(阻止)结束进程:0(进程句柄)[/mw_shl_code]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 21:11 , Processed in 0.102254 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表