收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 高级U盘病毒??……欢迎上报党,分析党,扫描党……
1234567下一页
返回列表 发新帖
查看: 9011|回复: 63
收起左侧

[病毒样本] 高级U盘病毒??……欢迎上报党,分析党,扫描党……

  [复制链接]
zhou0197
发表于 2017-3-12 12:33:13 | 显示全部楼层 |阅读模式
本帖最后由 zhou0197 于 2017-3-13 20:06 编辑

VT好像就2家报,样本似乎不能正常运行?(似乎XP系统不行,win7貌似OK)

VT:https://www.virustotal.com/en/fi ... nalysis/1488565846/
https://www.virustotal.com/en/fi ... nalysis/1489290576/

样本:http://pan.baidu.com/s/1nva3mRJ

密码:infected

魔盾分析:
https://www.maldun.com/analysis/ ... UzOWRzZmFzZGZhc2Rm/
https://www.maldun.com/analysis/ ... U0MGRzZmFzZGZhc2Rm/

一共2个文件……

各位瞧瞧?


等下我看看能否分析行为…………

说真的,那么多杀毒软件不报,样本来自位于塔吉克斯坦的中国孔子学院某员工,据说很多电脑中招?

通过U盘传播,样本似乎有远程连接行为,对应IP位于格鲁吉亚??



行为:

2017/3/12 13:18:28    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\users\sep\desktop\getimage\getimage.exe
命令行: "C:\Users\SEP\Desktop\GetImage\GetImage.exe"
规则: [应用程序]*

2017/3/12 13:18:28    创建文件    允许
进程: c:\users\sep\desktop\getimage\getimage.exe
目标: C:\Users\SEP\AppData\Local\Temp\_MEI50442\Microsoft.VC90.CRT.manifest
规则: [文件组]所有执行文件 -> [文件]*; *.manifest

2017/3/12 13:18:28    创建文件    允许
进程: c:\users\sep\desktop\getimage\getimage.exe
目标: C:\Users\SEP\AppData\Local\Temp\_MEI50442\msvcr90.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2017/3/12 13:18:28    创建文件    允许
进程: c:\users\sep\desktop\getimage\getimage.exe
目标: C:\Users\SEP\AppData\Local\Temp\_MEI50442\msvcp90.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2017/3/12 13:18:28    创建文件    允许
进程: c:\users\sep\desktop\getimage\getimage.exe
目标: C:\Users\SEP\AppData\Local\Temp\_MEI50442\msvcm90.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2017/3/12 13:18:29    创建文件    允许
进程: c:\users\sep\desktop\getimage\getimage.exe
目标: C:\Users\SEP\AppData\Local\Temp\_MEI50442\python27.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2017/3/12 13:18:29    创建文件    允许
进程: c:\users\sep\desktop\getimage\getimage.exe
目标: C:\Users\SEP\AppData\Local\Temp\_MEI50442\pythoncom27.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2017/3/12 13:18:29    创建文件    允许
进程: c:\users\sep\desktop\getimage\getimage.exe
目标: C:\Users\SEP\AppData\Local\Temp\_MEI50442\pywintypes27.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2017/3/12 13:18:29    创建文件    允许
进程: c:\users\sep\desktop\getimage\getimage.exe
目标: C:\Users\SEP\AppData\Local\Temp\_MEI50442\Microsoft.VC90.MFC.manifest
规则: [文件组]所有执行文件 -> [文件]*; *.manifest

2017/3/12 13:18:29    创建文件    允许
进程: c:\users\sep\desktop\getimage\getimage.exe
目标: C:\Users\SEP\AppData\Local\Temp\_MEI50442\mfc90.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2017/3/12 13:18:30    创建文件    允许
进程: c:\users\sep\desktop\getimage\getimage.exe
目标: C:\Users\SEP\AppData\Local\Temp\_MEI50442\mfc90u.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2017/3/12 13:18:30    创建文件    允许
进程: c:\users\sep\desktop\getimage\getimage.exe
目标: C:\Users\SEP\AppData\Local\Temp\_MEI50442\mfcm90.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2017/3/12 13:18:30    创建文件    允许
进程: c:\users\sep\desktop\getimage\getimage.exe
目标: C:\Users\SEP\AppData\Local\Temp\_MEI50442\mfcm90u.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2017/3/12 13:18:30    创建文件    允许
进程: c:\users\sep\desktop\getimage\getimage.exe
目标: C:\Users\SEP\AppData\Local\Temp\_MEI50442\WinSecure.exe.manifest
规则: [文件组]所有执行文件 -> [文件]*; *.manifest

2017/3/12 13:18:30    创建新进程    允许
进程: c:\users\sep\desktop\getimage\getimage.exe
目标: c:\users\sep\desktop\getimage\getimage.exe
命令行: "C:\Users\SEP\Desktop\GetImage\GetImage.exe"
规则: [应用程序]*

2017/3/12 13:18:31    访问网络    允许
进程: c:\users\sep\desktop\getimage\getimage.exe
目标: TCP [本机 : 49170] ->  [146.255.243.102 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2017/3/12 13:18:37    创建文件    允许
进程: c:\users\sep\desktop\getimage\getimage.exe
目标: C:\Users\SEP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WinSecure.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2017/3/12 13:18:46    创建新进程    允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\wermgr.exe
命令行: C:\Windows\system32\wermgr.exe -queuereporting
规则: [应用程序]*

回复

举报

dongwenqi
发表于 2017-3-12 12:57:48 | 显示全部楼层
卡巴MISS
回复

举报

ELOHIM
发表于 2017-3-12 13:13:44 | 显示全部楼层
比较猛。
WD MISS。
回复

举报

zhou0197
 楼主| 发表于 2017-3-12 13:25:29 | 显示全部楼层
ELOHIM 发表于 2017-3-12 13:13
比较猛。
WD MISS。


SEP(开A杀)和卡巴似乎全部MISS…………

这么多不报,还会联网(连到格鲁吉亚去了)的U盘病毒,真的不多见啊……
回复

举报

猥琐大叔
发表于 2017-3-12 13:28:38 | 显示全部楼层
avast miss
回复

举报

蓝天二号
发表于 2017-3-12 13:33:06 | 显示全部楼层
文件名: getimage.exe
威胁名称: WS.Reputation.1完整路径: c:\users\microsoft\desktop\新建文件夹\getimage\getimage.exe

____________________________

____________________________


在电脑上 
2017/3/12 ( 13:30:42 )

上次使用时间 
2017/3/12 ( 13:32:42 )

启动项 


已启动 


威胁类型: 智能网络威胁。 很多迹象表明此文件不可信任,不安全

____________________________


getimage.exe 威胁名称: WS.Reputation.1
定位


少量用户信任的文件
Norton 社区中有不到 50 名用户 使用了此文件。

发布已久的文件
该文件已在 10 个月 前发行。


此文件具有中等程度风险。


____________________________


来源: 外部介质

源文件:
getimage.exe

____________________________

文件操作

文件: c:\users\microsoft\desktop\新建文件夹\getimage\ getimage.exe 已删除
____________________________


文件指纹 - SHA:
e269b0c4d33ec900f5542d8a5338915ff790310c8f63a8627e272b2cac4ee01f
文件指纹 - MD5:
0bcf08501969a9bbc7e7c2e32fd90a19
回复

举报

ELOHIM
发表于 2017-3-12 13:34:47 | 显示全部楼层
zhou0197 发表于 2017-3-12 13:25
SEP(开A杀)和卡巴似乎全部MISS…………

这么多不报,还会联网(连到格鲁吉亚去了)的U盘病毒,真 ...

嗯。我没有从百度盘下载。下载的是 maldun 里面的两个 bin 文件。。

看过分析,感觉粗大事了。
回复

举报

心醉咖啡
发表于 2017-3-12 13:42:28 | 显示全部楼层
火绒扫描miss
回复

举报

pal家族
发表于 2017-3-12 13:51:01 | 显示全部楼层
等司机上班了再上报吧
回复

举报

540923555
发表于 2017-3-12 14:43:18 | 显示全部楼层
VT的报毒数全都降到一个了。。。。
回复

举报

下一页 »
1234567下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-19 20:19 , Processed in 0.134442 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表