楼主: 神龟Turmi
收起左侧

[病毒样本] 【缉毒卫队测试包】第29期 20170517

[复制链接]
cpcpcpy
发表于 2017-5-18 00:23:35 | 显示全部楼层
emsisoft internet security 3/8
[CSS] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
Emsisoft Internet Security - 版本 2017.4.1.7484
最后更新: 2017/5/18 0:08:39

OS version: Windows 10x64 

扫描设置:

扫描方式: 
对象: C:\Users\\Desktop\sniperlab-test-p29

检测流氓软件(PUPs): 开
扫描存档: 开
ADS数据流扫描: 开
文件扩展名过滤: 关
直接磁盘访问: 关

扫描开始:	2017/5/18 0:18:57
C:\Users\\Desktop\sniperlab-test-p29\170517-6.Trojan.Darksnow.exe.infected 	 Trojan.GenericKD.5079369 (B) [krnl.xmd]
C:\Users\\Desktop\sniperlab-test-p29\170517-5.Trojan.Generic(b6573c3c).exe.infected 	 Gen:Variant.Razy.165222 (B) [krnl.xmd]
C:\Users\\Desktop\sniperlab-test-p29\170517-7.Ransom.CoinMiner.exe.infected 	 Gen:Variant.Zusy.236342 (B) [krnl.xmd]

扫描	8
发现	3

扫描结束:	2017/5/18 0:19:00
扫描时间:	0:00:03


瑞星 rdm+ 6/8
[CSS] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
 编译于:Aug 10 2016   14:44:33

 提示:
  - 本工具供社区交流使用,请勿用于其他用途
  - 本工具没有恶意软件删除、清除、隔离功能
  - 本工具包含开发中的新特性,结果仅供参考

 * 获取恶软签名库最新版本 ...
 * 下载恶软签名库配置文件 ...
 * 创建恶软签名库升级组件 ...
 * 计算并下载增量文件 ...
 * 升级恶软签名库 ...
 * 恶软签名库升级成功
 * 命令行中的选项开关:-log=report.log
 * 初始化云引擎组件 ...
 * 加载恶软签名库: E:\Program Files\ramecl-201600810/malware.rmd
 * 恶软签名库加载成功,发布序号为 2118
 * 读取恶软签名库配置 ...
 * 初始化引擎环境 ...
 * 初始化引擎环境 ...
 * 初始化引擎环境 ...
 * 初始化引擎环境 ...
 * 扫描目标 : (1) C:\Users\CPY\Desktop\sniperlab-test-p29

扫描开始: Thu May 18 00:21:32 2017

C:\Users\\Desktop\sniperlab-test-p29\170517-1.Scrpit.Troldesh&Ransomware.js.infected ...     Troj
an.Nemucod!1.AA7D-4PvkD4osKeI <cloud>
C:\Users\\Desktop\sniperlab-test-p29\170517-4.Ransom.Cerber.exe.infected ...         Malware.Gene
ric.2!tfe-mjvx761nq2I <cloud>
C:\Users\\Desktop\sniperlab-test-p29\170517-5.Trojan.Generic(b6573c3c).exe.infected ...      Troj
an.Generic!8.C3-3kFarO6DwuH <cloud>
C:\Users\\Desktop\sniperlab-test-p29\170517-2.Trojan.Evasive.exe.infected ...        ok
C:\Users\\Desktop\sniperlab-test-p29\170517-7.Ransom.CoinMiner.exe.infected ...      Malware.Gene
ric.5!tfe-9s8HI9AZV3J <cloud>
C:\Users\\Desktop\sniperlab-test-p29\170517-8.Backdoor.Banker.exe.infected ...       Malware.Gene
ric.2!tfe-sG4PiEaVD9N <cloud>
C:\Users\\Desktop\sniperlab-test-p29\170517-3.Hacktool.RainbowCut.Packed.zip.infected ...    ok
C:\Users\\Desktop\sniperlab-test-p29\170517-6.Trojan.Darksnow.exe.infected ...       Ransom.FileC
ryptor!8.1A7-cBKsFqlub4J <cloud>
神龟Turmi
 楼主| 发表于 2017-5-18 00:27:53 来自手机 | 显示全部楼层
欧阳宣 发表于 2017-5-18 00:22
正常,cylance误报很多的

杀exe确实是误报 应该杀的是那两个sys
神龟Turmi
 楼主| 发表于 2017-5-18 00:31:41 来自手机 | 显示全部楼层
Agu 发表于 2017-5-17 23:57
GData - 掃描4X



卧槽 我看见coin下意识以为是勒索。。。
仁鹰
发表于 2017-5-18 07:11:25 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
林檎花未眠
发表于 2017-5-18 10:18:02 | 显示全部楼层
本帖最后由 林檎花未眠 于 2017-5-18 10:40 编辑

NS最后还剩下1和3,这个叫做rainbowcut的一看就不是什么好东西,举报了举报了

[CSS] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
文件名: 170517-2.trojan.evasive.exe.infected
威胁名称: Trojan.Gen.2完整路径: c:\users\ringo\desktop\lab29\170517-2.trojan.evasive.exe.infected

____________________________

____________________________


在电脑上的创建时间 
2017/5/18 ( 10:08:05 )

上次使用时间 
2017/5/18 ( 10:08:05 )

启动项目 
否

已启动 
否

威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


170517-2.trojan.evasive.exe.infected 威胁名称: Trojan.Gen.2
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: c:\users\ringo\desktop\lab29\ 170517-2.trojan.evasive.exe.infected 已阻止
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
文件名: 170517-5.trojan.generic(b6573c3c).exe.infected
威胁名称: Trojan.Gen完整路径: c:\users\ringo\desktop\lab29\170517-5.trojan.generic(b6573c3c).exe.infected

____________________________

____________________________


在电脑上的创建时间 
2017/5/18 ( 10:08:12 )

上次使用时间 
2017/5/18 ( 10:08:12 )

启动项目 
否

已启动 
否

威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


170517-5.trojan.generic(b6573c3c).exe.infected 威胁名称: Trojan.Gen
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: c:\users\ringo\desktop\lab29\ 170517-5.trojan.generic(b6573c3c).exe.infected 已阻止
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

文件名: 170517-6.trojan.darksnow.exe.infected
威胁名称: Trojan.Gen.8!cloud完整路径: c:\users\ringo\desktop\lab29\170517-6.trojan.darksnow.exe.infected

____________________________

____________________________


在电脑上的创建时间 
2017/5/18 ( 10:08:15 )

上次使用时间 
2017/5/18 ( 10:08:15 )

启动项目 
否

已启动 
否

威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。

____________________________


170517-6.trojan.darksnow.exe.infected 威胁名称: Trojan.Gen.8!cloud
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: c:\users\ringo\desktop\lab29\ 170517-6.trojan.darksnow.exe.infected 已阻止
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

文件名: 170517-7.ransom.coinminer.exe.infected
威胁名称: Trojan.Gen完整路径: c:\users\ringo\desktop\lab29\170517-7.ransom.coinminer.exe.infected

____________________________

____________________________


在电脑上的创建时间 
2017/5/18 ( 10:08:17 )

上次使用时间 
2017/5/18 ( 10:08:17 )

启动项目 
否

已启动 
否

威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


170517-7.ransom.coinminer.exe.infected 威胁名称: Trojan.Gen
定位


少量用户信任的文件
诺顿社区中有 不到 50 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: c:\users\ringo\desktop\lab29\ 170517-7.ransom.coinminer.exe.infected 已阻止
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

文件名: 170517-8.backdoor.banker.exe.infected
威胁名称: Trojan.Cridex完整路径: c:\users\ringo\desktop\lab29\170517-8.backdoor.banker.exe.infected

____________________________

____________________________


在电脑上的创建时间 
2017/5/18 ( 10:08:25 )

上次使用时间 
2017/5/18 ( 10:08:25 )

启动项目 
否

已启动 
否

威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


170517-8.backdoor.banker.exe.infected 威胁名称: Trojan.Cridex
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: c:\users\ringo\desktop\lab29\ 170517-8.backdoor.banker.exe.infected 已阻止
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

文件名: 170517-4.ransom.cerber.exe.infected
威胁名称: Ransom.Cerber完整路径: c:\users\ringo\desktop\lab29\170517-4.ransom.cerber.exe.infected

____________________________

____________________________


在电脑上的创建时间 
2017/5/18 ( 10:06:28 )

上次使用时间 
2017/5/18 ( 10:08:28 )

启动项目 
否

已启动 
否

威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


170517-4.ransom.cerber.exe.infected 威胁名称: Ransom.Cerber
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
170517-4.ransom.cerber.exe.infected

____________________________

文件操作

文件: c:\users\ringo\desktop\lab29\ 170517-4.ransom.cerber.exe.infected 已删除
____________________________


文件指纹 - SHA:
9e432643be33ea29e74bd20337cb2a71160bacbad1ab3877850e8873f840ebc2
文件指纹 - MD5:
不可用

文件名: 170517-8.backdoor.banker.exe.infected
威胁名称: Trojan.Cridex完整路径: c:\users\ringo\desktop\lab29\170517-8.backdoor.banker.exe.infected

____________________________

____________________________


在电脑上的创建时间 
2017/5/18 ( 10:06:32 )

上次使用时间 
2017/5/18 ( 10:08:32 )

启动项目 
否

已启动 
否

威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


170517-8.backdoor.banker.exe.infected 威胁名称: Trojan.Cridex
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
170517-8.backdoor.banker.exe.infected

____________________________

文件操作

受感染文件: c:\users\ringo\desktop\lab29\ 170517-8.backdoor.banker.exe.infected 不需要操作
____________________________


文件指纹 - SHA:
074bb92bf4773ddb5cb11feee679938d2c445e190af36bd6f22d64011fac7929
文件指纹 - MD5:
不可用



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
540923555
发表于 2017-5-18 10:38:04 | 显示全部楼层
WD剩三个
540923555
发表于 2017-5-18 10:38:27 | 显示全部楼层
本帖最后由 540923555 于 2017-5-18 11:21 编辑

网络卡,二连了,版主删了吧
XZ8SM7Sx0bVkoUV
发表于 2017-5-18 11:28:17 | 显示全部楼层
火绒kill4

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
dongwenqi
发表于 2017-5-18 11:35:27 | 显示全部楼层
170517-2.Trojan.Evasive.exe.infected - Trojan-Downloader.Win32.Upatre.fypf
170517-5.Trojan.Generic(b6573c3c).exe.infected - HEUR:Trojan.Win32.Generic
170517-1.Scrpit.Troldesh&Ransomware.js.infected - HEUR:Trojan.Script.Agent.gen
170517-7.Ransom.CoinMiner.exe.infected - Trojan.Win32.Miner.azf
170517-4.Ransom.Cerber.exe.infected - Trojan-Ransom.Win32.Zerber.ecmc
170517-8.Backdoor.Banker.exe.infected - Backdoor.Win32.Dridex.kd
170517-6.Trojan.Darksnow.exe.infected - Trojan-Ransom.Win32.Agent.iyr
心醉咖啡
发表于 2017-5-18 12:22:20 | 显示全部楼层
360

[CSS] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
360杀毒扫描日志

病毒库版本:
扫描时间:2017-05-18 12:21:48
扫描用时:00:00:05
扫描类型:右键扫描
扫描文件总数:8
项目总数:2
清除项目数:2

扫描选项
----------------------
扫描所有文件:是
扫描压缩包:是
发现病毒处理方式:由用户选择处理
扫描磁盘引导区:是
扫描 Rootkit:是
使用云查杀引擎:是
使用QVM人工智能引擎:是
扫描建议修复项:是
常规引擎设置:未使用

扫描内容
----------------------
F:\浏览器下载\sniperlab-test-p29


白名单设置
----------------------


扫描结果
======================
高危风险项
----------------------
F:\浏览器下载\sniperlab-test-p29\170517-5.Trojan.Generic(b6573c3c).exe.infected	感染型病毒(Win32/Trojan.a94)	已删除
F:\浏览器下载\sniperlab-test-p29\170517-7.Ransom.CoinMiner.exe.infected	HEUR/QVM19.1.21BA.Malware.Gen	已删除

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-10-18 13:30 , Processed in 0.103846 second(s), 7 queries , MemCache On.

快速回复 返回顶部 返回列表