【掛馬樣本】b.exe VT(11/61)

显示全部楼层 · 发表于 2017-5-3 19:35:28

本帖最后由 Agu 于 2017-5-3 20:58 编辑

掛馬網址(相同Hash)：
kenroof.com/wmv4j-zn355-fokat/
4glory.net/p7lrq-s191-iv/
dynamat.com/vg2nwq-xs622-k/
cfarchitecture.be/zse7b-g437-hbn/
kadevecer.com.mk/ief7bv-jq318-ycl/

VT(11/61)：
https://www.virustotal.com/en/fi ... f338c23fe/analysis/

樣本載點(SHA3-256前六碼1088DA，密碼infected)：

測試：GData -

显示全部楼层 · 发表于 2017-5-3 19:43:04

毒霸扫描miss

显示全部楼层 · 发表于 2017-5-3 19:58:31

emsi miss

显示全部楼层 · 发表于 2017-5-3 20:04:23

趋势扫描miss

显示全部楼层 · 发表于 2017-5-3 20:09:28

Avira miss

显示全部楼层 · 发表于 2017-5-3 20:18:46

斯基已然拉黑

03.05.2017 20.18.29;Detected object (file) deleted;D:\360安全浏览器下载\Malware@1088DA\b.exe;WinRAR 压缩文件管理器;D:\360安全浏览器下载\Malware@1088DA\b.exe;05/03/2017 20:18:29;UDS:DangerousObject.Multi.Generic

显示全部楼层 · 发表于 2017-5-3 20:21:30

五个网址卡巴拦截了3x（ksn detection）
没有拦截的下载中途被终止（signature detection）

显示全部楼层 · 发表于 2017-5-3 20:52:13

EMSI

b.exe Quarantined by community Behavior.CodeInjector

显示全部楼层 · 发表于 2017-5-3 21:09:41

Dolby123 发表于 2017-5-3 20:52
EMSI

b.exe Quarantined by community Behavior.CodeInjector

Emsisoft的雲好強勁啊...是雙擊後才會觸發？

显示全部楼层 · 发表于 2017-5-3 21:16:53

本帖最后由 Dolby123 于 2017-5-3 21:18 编辑

Agu 发表于 2017-5-3 21:09
Emsisoft的雲好強勁啊...是雙擊後才會觸發？

正确来说不是信誉云强，而是本地BehaviorBlock强，双击之后会把拦截信息上传至云端，其他用户双击的时候自动拉黑或隔离 (云端的工作是负责减少与用户交互，信誉良好的文件自动通过（白名单），信誉坏的自动隔离)。

显示全部楼层 · 发表于 2017-5-3 21:22:14

EIS Kill

显示全部楼层 · 发表于 2017-5-3 21:26:41

[mw_shl_code=xml,true]<?xml version="1.0" encoding="UTF-8"?>

-<ESET>

-<LOG>

-<RECORD>

<COLUMN NAME="时间">2017/5/3 21:20:48</COLUMN>

<COLUMN NAME="扫描程序">文件系统实时防护</COLUMN>

<COLUMN NAME="对象类型">文件</COLUMN>

<COLUMN NAME="对象">C:\Users\Dell\Desktop\b.exe</COLUMN>

<COLUMN NAME="威胁">Suspicious Object</COLUMN>

<COLUMN NAME="操作">已删除</COLUMN>

<COLUMN NAME="用户">DESKTOP-AKD9O29\Dell</COLUMN>

<COLUMN NAME="信息">尝试通过应用程序访问文件时发生事件: C:\Windows\explorer.exe (7A79B35A22993CAD183C94E624FC7DD332AEDC0C).</COLUMN>

<COLUMN NAME="哈希"/>

<COLUMN NAME="此处首次所见">2017/5/3 21:20:42</COLUMN>

</RECORD>

</LOG>

</ESET>[/mw_shl_code]

显示全部楼层 · 发表于 2017-5-3 21:38:23

avira
Detection: TR/Dropper.yvyxb

显示全部楼层 · 发表于 2017-5-3 21:40:37

DrWeb

显示全部楼层 · 发表于 2017-5-3 22:08:45

Dolby123 发表于 2017-5-3 21:16
正确来说不是信誉云强，而是本地BehaviorBlock强，双击之后会把拦截信息上传至云端，其他用户双击的时候 ...

看來不錯，那有遇過誤報的狀況？

显示全部楼层 · 发表于 2017-5-3 22:28:51

Agu 发表于 2017-5-3 22:08
看來不錯，那有遇過誤報的狀況？

目前遇过的误报多数是来自BD的

比如银联安全控件，LOL 游戏客户端，cuckoosandbox的两个exe误杀。目前已经给我漂白了

显示全部楼层 · 发表于 2017-5-3 22:30:10

Dolby123 发表于 2017-5-3 22:28
目前遇过的误报多数是来自BD的
比如银联安全控件，LOL 游戏客户端，cuckoosandbox的两个exe误 ...

LoL之前Garena有發中毒更新檔的不良紀錄

不過我裝GData還沒遇過誤報就是了

显示全部楼层 · 发表于 2017-5-3 22:34:05

BD：云拉黑 (Gen.Suspicious.Cloud.4.oqW@aiWX5Ci)居然已经进化到4了，不知道这是依据什么分的类

显示全部楼层 · 发表于 2017-5-3 23:15:55

霄栋发表于 2017-5-3 22:34
BD：云拉黑 (Gen.Suspicious.Cloud.4.oqW@aiWX5Ci)居然已经进化到4了，不知道这是依据什么分的类

我见过1，3，4，没见过2

显示全部楼层 · 发表于 2017-5-3 23:24:32

本帖最后由霄栋于 2017-5-3 23:27 编辑

230f4 发表于 2017-5-3 23:15
我见过1，3，4，没见过2

我倒是没见过3
下次再遇到云杀我干脆直接报数字得了，打这一串太长啦

就是不知道BD这究竟是怎么个分类法
以前linzh测试说云拉黑一般是ATC不报的样本
不过我这阵子测，一些拉黑的样本（可能是1或者2）ATC是可以检测并移除的

[病毒样本] 【掛馬樣本】b.exe VT(11/61)

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分