52破解远控

显示全部楼层 · 发表于 2017-2-18 17:09:27

本帖最后由酒醒寂寞饮小雨于 2017-2-18 17:15 编辑

原帖：http://www.52pojie.cn/thread-580924-1-1.html
样本：http://pan.baidu.com/s/1qYhh3QW
解压密码 52pojie

AVAST加强模式拦截,虚拟机测试.

显示全部楼层 · 发表于 2017-2-18 17:32:13

显示全部楼层 · 发表于 2017-2-18 17:36:27

[mw_shl_code=css,true]

Type: File
Source: C:\Users\Ivan\Downloads\muma\bass.dll
Status: Infected
Quarantine object: 0085d414.qua
Restored: NO
Uploaded to Avira: NO
Operating system: Windows XP/VISTA Workstation/Windows 7
Search engine: 8.03.42.182
Virus definition file: 8.12.155.142
Detection: HEUR/APC (Cloud)
Date/Time: 18/2/2017, 17:33[/mw_shl_code]

18/2/2017, 5:30:52 PM [Real-Time Protection] Malware found
The pattern of 'TR/Venik.eanh [trojan]'
detected in file 'C:\Users\Ivan\Downloads\muma\Setting.ini'.
Action performed: Move file to quarantine

18/2/2017, 5:30:51 PM [Real-Time Protection] Malware found
The pattern of 'TR/Muldrop.wyino [trojan]'
detected in file 'C:\Users\Ivan\Downloads\muma\date.ini'.
Action performed: Move file to quarantine

显示全部楼层 · 发表于 2017-2-18 18:22:44

显示全部楼层 · 发表于 2017-2-18 18:42:26

诺顿：
bass.dll:  Heur. AdvML.C
aplayer.exe:  Suspicious.Cloud.7.F
setting.ini:  Trojan.Gen
data.ini:  Trojan.Gen

显示全部楼层 · 发表于 2017-2-18 18:59:28

电脑发烧友发表于 2017-2-18 17:32

关键的东西系没报啊
APlayer.dll实际是exe，去加载bass.dll这个dll是黑的
服务端用的是阿里云

显示全部楼层 · 发表于 2017-2-19 08:35:16

vm001 发表于 2017-2-18 18:59
关键的东西系没报啊
APlayer.dll实际是exe，去加载bass.dll这个dll是黑的
服务端用的是阿里云

话说杀掉的那两个东西是干啥的？

显示全部楼层 · 发表于 2017-2-19 09:12:54

电脑发烧友发表于 2017-2-19 08:35
话说杀掉的那两个东西是干啥的？

不知道啊，不会分析

显示全部楼层 · 发表于 2017-2-20 09:27:18

MSE 断网
date.ini
Infected: Trojan:Win32/Dynamer!ac
Setting.ini
Infected: Trojan:Win32/Bulta!rfn
Setting.ini->(VFS:1714364.dll)
Infected: Backdoor:Win32/Venik!rfn [non_writable_container]

显示全部楼层 · 发表于 2017-2-20 10:10:24

avast

[病毒样本] 52破解远控

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源