查看: 6959|回复: 33
收起左侧

[病毒样本] 奇葩样本系列之二(删除文件+弹窗?)【鼓励双击得惊喜】

  [复制链接]
学雷锋做人
头像被屏蔽
发表于 2017-7-6 10:56:04 | 显示全部楼层 |阅读模式
很高兴认识了一个14岁的小孩,闲得没事就收集很多有意思或者有名的样本放虚拟机下测试,录下来传到B站上;很显然他缺少作业,此样本来自他的百度云样本库

(样本名为默认下载文件名)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
浅暮、浅离
发表于 2017-7-6 11:01:15 | 显示全部楼层
单位的电脑就不乱来了,我扫描就好了!!!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
安全守护者
头像被屏蔽
发表于 2017-7-6 11:11:34 | 显示全部楼层
电脑管家 miss
安全守护者
头像被屏蔽
发表于 2017-7-6 11:15:42 | 显示全部楼层
本帖最后由 安全守护者 于 2017-7-6 11:19 编辑

[mw_shl_code=sql,true]
文件检测
评分:轻度风险
文件名称:删除文件弹窗病毒.exe

基本信息
文件名称:         
删除文件弹窗病毒.exe
MD5:b0478579adca74494edd8e28f5a23804
文件类型:EXE
上传时间:2017-07- 06 11:10:06
出品公司:N / A
版本:N / A
壳或编译器信息:COMPILER:Elan
关键
行行行描述:查找文件方式探测虚拟机
详情信息:         
FindFirstFileEx:FileName = c:\ Documents and Settings \ Administrator \ Local Settings \ Application Data \ VMware \ Program
FindFirstFileEx:FileName = c:\ Documents and Settings \ Administrator \ Local Settings \ Application Data \ VMware \ *
FindFirstFileEx:FileName = c:\ Documents and Settings \ Administrator \ Local Settings \ Temp \ VMwareDnD \ Program
FindFirstFileEx:FileName = c:\ Documents and Settings \ Administrator \ Local Settings \ Temp \ VMwareDnD \ *
FindFirstFileEx:FileName = c:\ Documents and Settings \ Administrator \“开始”菜单\添加\ Program
FindFirstFileEx :FileName = c:\ Documents and Settings \ Administrator \“开始”菜单\程序\ Oracle VM VirtualBox Guest Additions \ *
FindFirstFileEx:FileName = c:\ Documents and Settings \ All Users \ Application Data \ VMware \ Program
FindFirstFileEx:FileName = c:\ Documents and Settings \ All Users \ Application Data \ VMware \ *
FindFirstFileEx:FileName = c:\ Documents and Settings \ root \ Local Settings \ Application Data \ VMware \ Program
FindFirstFileEx:FileName = c:\ Documents and Settings \ root \ Local Settings \ Application Data \ VMware \ *
FindFirstFileEx:FileName = c:\ Program Files \ Common Files \ VMware \ Program
FindFirstFileEx:FileName = c:\ Program Files \ Common Files \ VMware \ *
FindFirstFileEx:FileName = c:\ Program Files \ Oracle \ VirtualBox Guest Additions \ Program
FindFirstFileEx:FileName = c:\ Program Files \ Oracle \ VirtualBox Guest Additions \ *
FindFirstFileEx:FileName = c:\ Program Files \ VMware \ Program
行为描述:杀掉进程
详情信息:         
TASKKILL = TASKKILL / F / IM的explorer.exe
C:\ Windows \ explorer.exe的
进程行为
为描述:进程创建33
详情信息:         
[0x00000a98]的ImagePath = C:\窗口\ system32 \ cmd.exe的,参数CmdLine = CMD / C DEL / F / S / QC:\ Program Files文件
[0x00000aac]的ImagePath = C:\ Windows \ system32 \ cmd.exe,CmdLine = cmd / c del / f / s / qc:\ windows
[0x00000ac0] ImagePath = C:\ WINDOWS \ system32 \ cmd.exe,CmdLine = cmd / c del / f / s / qc: \ Program Files(x86)
[0x00000ad4] ImagePath = C:\ WINDOWS \ system32 \ cmd.exe,CmdLine = cmd / c del / f / s / qd:\ *
[0x00000b04] ImagePath = C:\ WINDOWS \ system32 \ cmd .exe,CmdLine = cmd / c rd / s / qf:
[0x00000b0c] ImagePath = C:\ WINDOWS \ system32 \ cmd.exe,CmdLine = cmd / c rd / s / qd:
[0x00000b14] ImagePath = C:\ WINDOWS \ SYSTEM32 \ cmd.exe的,参数CmdLine = CMD / C DEL / F / S / QF:\ *
[0x00000b1c]的ImagePath = C:\窗口\ system32 \ cmd.exe的,参数CmdLine = CMD / C RD / S / QQ:
[ 0x00000b24] ImagePath = C:\ WINDOWS \ system32 \ cmd.exe,CmdLine = cmd / c del / f / s / qg:\ *
[0x00000b2c] ImagePath = C:\ WINDOWS \ system32 \ cmd.exe,CmdLine = cmd / c taskkill / f / im explorer.exe
[0x00000b34] ImagePath = C:\ WINDOWS \ system32 \ cmd.exe,C mdLine = cmd / c taskkill / f / im explorer.exe
[0x00000b54] ImagePath = C:\ WINDOWS \ system32 \ cmd.exe,CmdLine = cmd / c taskkill / f / im explorer.exe
[0x00000b5c] ImagePath = C:\ WINDOWS \ system32 \ taskkill.exe,CmdLine = taskkill / f / im explorer.exe
[0x00000b64] ImagePath = C:\ WINDOWS \ system32 \ cmd.exe,CmdLine = cmd / c taskkill / f / im explorer.exe
[0x00000b6c] ImagePath = C:\ WINDOWS \ system32 \ cmd.exe,CmdLine = cmd / c taskkill / f / im explorer.exe
行为描述:创建本地线程
详情信息:         
TargetProcess:taskkill.exe,InheritedFromPID = 2860,ProcessID = 2908,ThreadID = 2940,StartAddress = 77E56C7D,参数= 000EAC28
TargetProcess:taskkill.exe,InheritedFromPID = 2860,ProcessID = 2908,ThreadID = 2944,StartAddress = 769AE43B,参数= 000ED5C8
TargetProcess:taskkill.exe,InheritedFromPID = 2860,ProcessID = 2908,ThreadID = 2948,StartAddress = 77E56C7D,参数= 000EDC60
TargetProcess:taskkill.exe,InheritedFromPID = 2900,ProcessID = 2928,ThreadID = 3048,StartAddress = 77E56C7D,参数= 000EAC28
TargetProcess:taskkill.exe,InheritedFromPID = 2900,ProcessID = 2928,ThreadID = 3076,StartAddress = 769AE43B,参数= 000ED5C8
TargetProcess:taskkill.exe,InheritedFromPID = 2860,ProcessID = 2908,ThreadID = 3080,StartAddress = 77E56C7D,参数= 000F7D88
TargetProcess:taskkill.exe,InheritedFromPID = 2900,ProcessID = 2928,ThreadID = 3084,StartAddress = 77E56C7D,参数= 000EDC60
TargetProcess:taskkill.exe,InheritedFromPID = 2868,ProcessID = 2980,ThreadID = 3144,StartAddress = 77E56C7D,参数= 000EAC28
TargetProcess:taskkill.exe,InheritedFromPID = 2916,ProcessID = 3016,ThreadID = 3148,StartAddress = 77E56C7D,参数= 000EAC28
TargetProcess:taskkill.exe,InheritedFromPID = 2868,ProcessID = 2980,ThreadID = 3152,StartAddress = 769AE43B,参数= 000ED5C8
TargetProcess:taskkill.exe,InheritedFromPID = 2868,ProcessID = 2980,ThreadID = 3156,StartAddress = 77E56C7D,参数= 000EDC60
TargetProcess:taskkill。exe,InheritedFromPID = 2916,ProcessID = 3016,ThreadID = 3160,StartAddress = 769AE43B,参数= 000ED5C8
TargetProcess:taskkill.exe,InheritedFromPID = 2916,ProcessID = 3016,ThreadID = 3164,StartAddress = 77E56C7D,参数= 000EDD50
TargetProcess:taskkill。 exe,InheritedFromPID = 2924,ProcessID = 3168,ThreadID = 3304,StartAddress = 77E56C7D,参数= 000EAC28
TargetProcess:taskkill.exe,InheritedFromPID = 2924,ProcessID = 3168,ThreadID = 3308,StartAddress = 769AE43B,Parameter = 000ED5C8
行为描述:掉进
信息:         
TASKKILL = taskkill / f / im explorer.exe
C:\ WINDOWS \ explorer.exe
文件行为
行为描述:删除文件
详情信息:         
C:\ WINDOWS \ 0.log
C:\ WINDOWS \ bitssetup.log
C :\ WINDOWS \ cmsetacl.log
C:\ WINDOWS \ comsetup.log
C:\ WINDOWS \ control.ini
C:\ WINDOWS \ desktop.ini
C:\ WINDOWS \ DtcInstall.log
C:\ WINDOWS \ explorer.scf
C:\ WINDOWS \ hh.exe
C:\ WINDOWS \ KB2412687.log
C:\ WINDOWS \ msdfmap.ini
C:\ WINDOWS \ msmqinst.log
C:\ WINDOWS \ NOTEPAD.EXE
C:\ WINDOWS \ ntdtcs etup.log
C:\ WINDOWS \ ocgen.log
行为描述:查找文件
详情信息:         
FileName = C:\ WINDOWS
FileName = C:\ WINDOWS \ system32
FileName = C:\ WINDOWS \ system32 \ cmd.exe
FileName = C:\文件和设置
FileName = C:\ Documents and Settings \ Administrator
FileName = C:\ Documents and Settings \ Administrator \ Local Settings
FileName = C:\ Documents and Settings \ Administrator \ Local Settings \ Temp
FileName = C:\ Documents and Settings \ Administrator \ Local Settings \%temp%
FileName = c:\ Program
FileName = c:\ *
FileName = c:\ 222c25ed \ Program
FileName = c:\ 222c25ed \ *
FileName = c:\ 222c25ed \ IE8-Setup-Full \ Program
FileName = c:\ 222c25ed \ IE8-Setup-Full \ *
FileName = c:\ 222c25ed \ IE8-Setup-Full \ log \ Program
其他行为
行为描述:创建互斥体
详情信息:         
CTF.LBES.MutexDefaultS- *
CTF .Compart.MutexDefaultS- *
CTF.Asm.MutexDefaultS- *
CTF.Layouts.MutexDefaultS- *
CTF.TMD.MutexDefaultS- *
CTF.TimListCache.FMPDefaultS- * MUTEX.DefaultS- *
行为描述:创建事件对象
详情信息:         
EventName = DIN PUTWINMM
行为描述:打开事件
详情信息:         
HookSwitchHookEnabledEvent
MSFT.VSA.COM.DISABLE.2908
MSFT.VSA.IEC.STATUS.6c736db0
MSFT.VSA.COM.DISABLE.2928
MSFT.VSA.COM.DISABLE.2980
MSFT.VSA。 COM.DISABLE.3016
MSFT.VSA.COM.DISABLE.3168
MSFT.VSA.COM.DISABLE.3176
MSFT.VSA.COM.DISABLE.3444
MSFT.VSA.COM.DISABLE.3564
MSFT.VSA.COM.DISABLE.3720
MSFT.VSA.COM.DISABLE.3684
行为描述:查找指定窗口
详情信息:         
NtUserFindWindowEx:[Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx:[Class,Window] = [,]
行为描述:枚举窗口
详情信息:         
N / A
行为描述:调整进程令牌权限
详情信息:         
SE_DEBUG_PRIVILEGE
行为描述:窗口信息
详情信息:         
Pid = 2652,Hwnd = 0x80350,Text =确定,ClassName = Button。
Pid = 2652,Hwnd = 0x203ac,Text = JB I LOVE U,ClassName = Static。
Pid = 2652,Hwnd = 0x70354,Text =信息:ClassName =#32770。
Pid = 2652,Hwnd = 0x103ba,Text =确定,ClassName = Button。
Pid = 2652,Hwnd = 0x103bc,Text = JB I LOVE U,ClassName = Static。
Pid = 2652,Hwnd = 0x103b8,Text =信息:ClassName =#32770。
Pid = 2652,Hwnd = 0x3038a,Text =确定,ClassName = Button。
Pid = 2652,Hwnd = 0x40358,Text = JB I LOVE U,ClassName = Static。
Pid = 2652,Hwnd = 0x30388,Text =信息:ClassName =#32770。
行为描述:隐藏指定窗口
详情信息:         
[Window,Class] = [,_EL_Timer]
行为描述:打开互斥体
详情信息:         
ShimCacheMutex
行为描述:查找文件方式探测虚拟机
详情信息:         
FindFirstFileEx:FileName = c:\ Documents and Settings \ Administrator \ Local Settings \ Application Data \ VMware \ Program
FindFirstFileEx:FileName = c:\ Documents and Settings \ Administrator \ Local Settings \ Application Data \ VMware \ *
FindFirstFileEx:FileName = c:\ Documents and Settings \ Administrator \ Local Settings \ Temp \ VMwareDnD \ Program
FindFirstFileEx:FileName = c:\ Documents and Settings \ Administrator \ Local Settings \ Temp \ VMwareDnD \ *
FindFirstFileEx:FileName = c:\ Documents and Settings \ Administrator \“开始”菜单\程序\ Oracle VM VirtualBox Guest Additions \ Program
FindFirstFileEx:FileName = c:\ Documents and Settings \ Administrator \“开始”菜单\程序\ Oracle VM VirtualBox Guest Additions \
FindFirstFileEx:文件 Name = c:\ Documents and Settings \ All Users \ Application Data \ VMware \ Program
FindFirstFileEx:FileName = c:\ Documents and Settings \ All Users \ Application Data \ VMware \ *
FindFirstFileEx:FileName = c:\ Documents and Settings \ root \ Local Settings \ Application Data \ VMware \ Program
FindFirstFileEx:FileName = c:\ Documents and Settings \ root \ Local Settings \ Application Data \ VMware \ *
FindFirstFileEx:FileName = c:\ Program Files \ Common Files \ VMware \ Program
FindFirstFileEx: FileName = c:\ Program Files \ Common Files \ VMware \ *
FindFirstFileEx:FileName = c:\ Program Files \ Oracle \ VirtualBox Guest Additions \ Program
FindFirstFileEx:FileName = c:\ Program Files \ Oracle \ VirtualBox Guest Additions \ *
FindFirstFileEx:文件名= C:\ Program Files文件\的VMware \程序
进程树
**** EXE(PID:0x00000a5c)。
cmd.exe的CMD / C德尔/ F / S / q程序文件(PID:0x00000a98)
的cmd.exe(PID: 0x00000aac)
cmd.exe cmd / c del / f / s / q程序文件(x86)(PID:0x00000ac0)
cmd.exe(PID:0x00000ad4)
cmd.exe(PID:0x00000b04)
cmd.exe(PID:0x00000b 0c)
cmd.exe(PID:0x00000b14)
cmd.exe(PID:0x00000b1c)
cmd.exe(PID:0x00000b2)
cmd.exe(PID:0x00000b2c)
taskkill.exe(PID:0x00000b5c)
cmd.exe(PID:0x00000b2)
taskkill.exe(PID:0x00000bc)
cmd.exe (PID:0x00000b4)cmd.exe(PID:0x00000b54)
taskkill.exe(PID:0x00000b70)
cmd.exe(PID:0x00000b64)
taskkill.exe(PID:0x00000bc8)
cmd.exe(PID:0x00000b6c)
taskkill。 exe(PID:0x00000c60)
cmd.exe(PID:0x00000bac)
taskkill.exe(PID:0x00000c68)
cmd.exe(PID:0x00000c10)
taskkill.exe(PID:0x00000d74)
cmd.exe cmd / c del / f / s / q程序文件(PID:0x00000c40)
cmd.exe cmd / c del / f / s / q程序文件(x86)(PID:0x00000c70)
cmd.exe(PID:0x00000cd0)
cmd.exe(PID:0x00000d04)
cmd.exe (PID:0x00000d28)
cmd.exe(PID:0x00000d7c)
cmd.exe(PID:0x00000d84)
cmd.exe(PID:0x00000d90)
cmd.exe cmd / c del / f / s / q windows(PID:0x00000da4)
cmd。 exe(PID:0x00000db8)
taskkill.exe(PID:0x00000dec)
cmd.exe cmd / c del / f / s / q程序文件(PID:0x00000dc0)
cmd.exe cmd / c del / f / s / q程序文件( x86)(PID:0x00000dcc)
cmd.exe的(PID:0x00000df4)
的cmd.exe(PID:0x00000dfc)
的cmd.exe(PID:0x00000e10)
的cmd.exe(PID:0x00000e1c)
的cmd.exe(PID:0x00000e3c)
的cmd.exe(PID:0x00000e44)
CMD。 exe cmd / c del / f / s / q windows(PID:0x00000e4c)
cmd.exe(PID:0x00000e54)
taskkill.exe(PID:0x00000e64)
cmd.exe(PID:0x00000e5c)
taskkill.exe(PID:0x00000e88)
cmd .exe cmd / c del / f / s / q程序文件(x86)(PID:0x00000eac)
cmd.exe(PID:0x00000eb4)
cmd.exe(PID:0x00000ed8)
cmd.exe(PID:0x00000ee0)
cmd.exe PID:0x00000ee8)
cmd.exe cmd / c del / f / s / q windows(PID:0x00000f0c)
cmd.exe(PID:0x00000f68)
cmd.exe cmd / c del / f / s / q windows(PID:0x00000f8c)[/mw_shl_code]

安全守护者
头像被屏蔽
发表于 2017-7-6 11:22:50 | 显示全部楼层
[mw_shl_code=sql,true]VirSCAN.org Scanned Report :
Scanned time   : 2017-07-06 11:15:07
Scanner results: 23%的杀软(9/39)报告发现病毒
File Name      : 删除文件弹窗病毒.exe
File Size      : 778240 byte
File Type      : application/x-dosexec
MD5            : b0478579adca74494edd8e28f5a23804
SHA1           : 7f66fffc86fc720b08f835e3ea56f9bede1ff9f5
Online report  : http://r.virscan.org/report/d78a23b2e6a1d39948878df4ac9e0f28

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
ANTIVIR        1.9.2.0        1.9.159.0         7.14.16.6      28   没有发现病毒            
AVAST!         170303-1       4.7.4             2017-03-03     56   引擎扫描超时            
AVG            2109/14149     10.0.1405         2017-07-04     1    没有发现病毒            
ArcaVir        1.0            2011              2014-05-30     21   没有发现病毒            
Authentium     4.6.5          5.3.14            2017-07-05     10   没有发现病毒            
Baidu Antivirus2.0.1.0        4.1.3.52192       2.0.1.0        4    Trojan.Generic.Heur.gen      
Bitdefender    7.58879        7.90123           2015-01-16     1    没有发现病毒            
ClamAV         23533          0.97.5            2017-07-04     6    Win.Trojan.Generic-6260335-1  
Comodo         15023          5.1               2017-07-05     3    Worm.Win32.Dropper.RA         
Dr.Web         5.0.2.3300     5.0.1.1           2017-06-18     58   引擎超时4                 
F-PROT         4.6.2.117      6.5.1.5418        2016-02-05     4    W32/Felix:EX:002!Eldorado     
F-Secure       2015-08-01-02  9.13              2015-08-01     1    没有发现病毒            
Fortinet       49.971, 49.961,5.4.247           2017-07-06     1    没有发现病毒            
GData          25.13236       25.13236          2017-07-06     11   没有发现病毒            
IKARUS         1.06.01        V1.32.31.0        2016-11-28     1    没有发现病毒            
NOD32          1777           3.0.21            2015-06-12     2    a variant of Win32/Packed.FlyS
QQ手机       1.0.0.0        1.0.0.0           2015-12-30     1    没有发现病毒            
Quickheal      14.00          14.00             2017-07-05     3    Trojan.Flystudio.100458      
SOPHOS         5.32           3.65.2            2016-10-10     10   没有发现病毒            
Sunbelt        3.9.2671.2     3.9.2671.2        2017-07-04     3    没有发现病毒            
TheHacker      6.8.0.5        6.8.0.5           2017-07-04     1    没有发现病毒            
Vba32          3.12.29.5 beta 3.12.29.5 beta    2017-07-04     14   没有发现病毒            
ViRobot        2.73           2.73              2015-01-30     1    没有发现病毒            
VirusBuster    15.0.985.0     5.5.2.13          2014-12-05     43   没有发现病毒            
a-squared      9.0.0.4799     9.0.0.4799        2015-03-08     1    Gen:Variant.Graftor.8204      
nProtect       9.9.9          9.9.9             2013-12-27     3    没有发现病毒            
卡巴斯基   5.5.33         5.5.33            2014-04-01     45   没有发现病毒            
奇虎360      1.0.1          1.0.1             1.0.1          2    HEUR/QVM07.1.D0EE.Malware.Gen
安博士V3    9.9.9          9.9.9             2013-05-28     4    没有发现病毒            
安天         AVL SDK 2.0                      1970-01-01     3    没有发现病毒            
江民杀毒   16.0.100       1.0.0.0           2017-07-04     2    Trojan.Generic.faf            
熊猫卫士   9.05.01        9.05.01           2017-07-04     4    没有发现病毒            
瑞星         26.28.00.01    26.28.00.01       2016-07-18     4    没有发现病毒            
百度杀毒   1.0            1.0               2017-03-22     1    没有发现病毒            
费尔         17.47.17308    1.0.2.2108        2017-07-05     6    没有发现病毒            
赛门铁克   20151230.005   1.3.0.24          2015-12-30     1    没有发现病毒            
趋势科技   13.302.06      9.500-1005        2017-03-27     1    没有发现病毒            
迈克菲      8261           5400.1158         2016-08-18     20   没有发现病毒            
金山毒霸   2.1            2.1               2017-07-05     2    没有发现病毒            [/mw_shl_code]
安全守护者
头像被屏蔽
发表于 2017-7-6 11:32:42 | 显示全部楼层
已经向腾讯报告
sanhu35
发表于 2017-7-6 11:39:11 | 显示全部楼层
像恶作剧病毒
引领五基生活
发表于 2017-7-6 11:44:08 | 显示全部楼层
费尔动态防御中

清除后黑屏

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
I76700K
发表于 2017-7-6 11:46:53 | 显示全部楼层
360kill

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
a445441
发表于 2017-7-6 11:54:59 | 显示全部楼层
微点拦截
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 02:53 , Processed in 0.128711 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表