奇葩样本系列之二（删除文件+弹窗？）【鼓励双击得惊喜】

显示全部楼层 · 发表于 2017-7-6 10:56:04

很高兴认识了一个14岁的小孩，闲得没事就收集很多有意思或者有名的样本放虚拟机下测试，录下来传到B站上；很显然他缺少作业，此样本来自他的百度云样本库

（样本名为默认下载文件名）

显示全部楼层 · 发表于 2017-7-6 11:01:15

单位的电脑就不乱来了，我扫描就好了！！！

显示全部楼层 · 发表于 2017-7-6 11:11:34

电脑管家 miss

显示全部楼层 · 发表于 2017-7-6 11:15:42

本帖最后由安全守护者于 2017-7-6 11:19 编辑

[mw_shl_code=sql,true]
文件检测
评分：轻度风险
文件名称：删除文件弹窗病毒.exe

基本信息
文件名称：
删除文件弹窗病毒.exe
MD5：b0478579adca74494edd8e28f5a23804
文件类型：EXE
上传时间：2017-07- 06 11:10:06
出品公司：N / A
版本：N / A
壳或编译器信息：COMPILER：Elan
关键
行行行描述：查找文件方式探测虚拟机
详情信息：
FindFirstFileEx：FileName = c：\ Documents and Settings \ Administrator \ Local Settings \ Application Data \ VMware \ Program
FindFirstFileEx：FileName = c：\ Documents and Settings \ Administrator \ Local Settings \ Application Data \ VMware \ *
FindFirstFileEx：FileName = c：\ Documents and Settings \ Administrator \ Local Settings \ Temp \ VMwareDnD \ Program
FindFirstFileEx：FileName = c：\ Documents and Settings \ Administrator \ Local Settings \ Temp \ VMwareDnD \ *
FindFirstFileEx：FileName = c：\ Documents and Settings \ Administrator \“开始”菜单\添加\ Program
FindFirstFileEx ：FileName = c：\ Documents and Settings \ Administrator \“开始”菜单\程序\ Oracle VM VirtualBox Guest Additions \ *
FindFirstFileEx：FileName = c：\ Documents and Settings \ All Users \ Application Data \ VMware \ Program
FindFirstFileEx：FileName = c：\ Documents and Settings \ All Users \ Application Data \ VMware \ *
FindFirstFileEx：FileName = c：\ Documents and Settings \ root \ Local Settings \ Application Data \ VMware \ Program
FindFirstFileEx：FileName = c：\ Documents and Settings \ root \ Local Settings \ Application Data \ VMware \ *
FindFirstFileEx：FileName = c：\ Program Files \ Common Files \ VMware \ Program
FindFirstFileEx：FileName = c：\ Program Files \ Common Files \ VMware \ *
FindFirstFileEx：FileName = c：\ Program Files \ Oracle \ VirtualBox Guest Additions \ Program
FindFirstFileEx：FileName = c：\ Program Files \ Oracle \ VirtualBox Guest Additions \ *
FindFirstFileEx：FileName = c：\ Program Files \ VMware \ Program
行为描述：杀掉进程
详情信息：
TASKKILL = TASKKILL / F / IM的explorer.exe
C：\ Windows \ explorer.exe的
进程行为
为描述：进程创建33
详情信息：
[0x00000a98]的ImagePath = C：\窗口\ system32 \ cmd.exe的，参数CmdLine = CMD / C DEL / F / S / QC：\ Program Files文件
[0x00000aac]的ImagePath = C：\ Windows \ system32 \ cmd.exe，CmdLine = cmd / c del / f / s / qc：\ windows
[0x00000ac0] ImagePath = C：\ WINDOWS \ system32 \ cmd.exe，CmdLine = cmd / c del / f / s / qc： \ Program Files（x86）
[0x00000ad4] ImagePath = C：\ WINDOWS \ system32 \ cmd.exe，CmdLine = cmd / c del / f / s / qd：\ *
[0x00000b04] ImagePath = C：\ WINDOWS \ system32 \ cmd .exe，CmdLine = cmd / c rd / s / qf：
[0x00000b0c] ImagePath = C：\ WINDOWS \ system32 \ cmd.exe，CmdLine = cmd / c rd / s / qd：
[0x00000b14] ImagePath = C：\ WINDOWS \ SYSTEM32 \ cmd.exe的，参数CmdLine = CMD / C DEL / F / S / QF：\ *
[0x00000b1c]的ImagePath = C：\窗口\ system32 \ cmd.exe的，参数CmdLine = CMD / C RD / S / QQ：
[ 0x00000b24] ImagePath = C：\ WINDOWS \ system32 \ cmd.exe，CmdLine = cmd / c del / f / s / qg：\ *
[0x00000b2c] ImagePath = C：\ WINDOWS \ system32 \ cmd.exe，CmdLine = cmd / c taskkill / f / im explorer.exe
[0x00000b34] ImagePath = C：\ WINDOWS \ system32 \ cmd.exe，C mdLine = cmd / c taskkill / f / im explorer.exe
[0x00000b54] ImagePath = C：\ WINDOWS \ system32 \ cmd.exe，CmdLine = cmd / c taskkill / f / im explorer.exe
[0x00000b5c] ImagePath = C：\ WINDOWS \ system32 \ taskkill.exe，CmdLine = taskkill / f / im explorer.exe
[0x00000b64] ImagePath = C：\ WINDOWS \ system32 \ cmd.exe，CmdLine = cmd / c taskkill / f / im explorer.exe
[0x00000b6c] ImagePath = C：\ WINDOWS \ system32 \ cmd.exe，CmdLine = cmd / c taskkill / f / im explorer.exe
行为描述：创建本地线程
详情信息：
TargetProcess：taskkill.exe，InheritedFromPID = 2860，ProcessID = 2908，ThreadID = 2940，StartAddress = 77E56C7D，参数= 000EAC28
TargetProcess：taskkill.exe，InheritedFromPID = 2860，ProcessID = 2908，ThreadID = 2944，StartAddress = 769AE43B，参数= 000ED5C8
TargetProcess：taskkill.exe，InheritedFromPID = 2860，ProcessID = 2908，ThreadID = 2948，StartAddress = 77E56C7D，参数= 000EDC60
TargetProcess：taskkill.exe，InheritedFromPID = 2900，ProcessID = 2928，ThreadID = 3048，StartAddress = 77E56C7D，参数= 000EAC28
TargetProcess：taskkill.exe，InheritedFromPID = 2900，ProcessID = 2928，ThreadID = 3076，StartAddress = 769AE43B，参数= 000ED5C8
TargetProcess：taskkill.exe，InheritedFromPID = 2860，ProcessID = 2908，ThreadID = 3080，StartAddress = 77E56C7D，参数= 000F7D88
TargetProcess：taskkill.exe，InheritedFromPID = 2900，ProcessID = 2928，ThreadID = 3084，StartAddress = 77E56C7D，参数= 000EDC60
TargetProcess：taskkill.exe，InheritedFromPID = 2868，ProcessID = 2980，ThreadID = 3144，StartAddress = 77E56C7D，参数= 000EAC28
TargetProcess：taskkill.exe，InheritedFromPID = 2916，ProcessID = 3016，ThreadID = 3148，StartAddress = 77E56C7D，参数= 000EAC28
TargetProcess：taskkill.exe，InheritedFromPID = 2868，ProcessID = 2980，ThreadID = 3152，StartAddress = 769AE43B，参数= 000ED5C8
TargetProcess：taskkill.exe，InheritedFromPID = 2868，ProcessID = 2980，ThreadID = 3156，StartAddress = 77E56C7D，参数= 000EDC60
TargetProcess：taskkill。exe，InheritedFromPID = 2916，ProcessID = 3016，ThreadID = 3160，StartAddress = 769AE43B，参数= 000ED5C8
TargetProcess：taskkill.exe，InheritedFromPID = 2916，ProcessID = 3016，ThreadID = 3164，StartAddress = 77E56C7D，参数= 000EDD50
TargetProcess：taskkill。 exe，InheritedFromPID = 2924，ProcessID = 3168，ThreadID = 3304，StartAddress = 77E56C7D，参数= 000EAC28
TargetProcess：taskkill.exe，InheritedFromPID = 2924，ProcessID = 3168，ThreadID = 3308，StartAddress = 769AE43B，Parameter = 000ED5C8
行为描述：掉进
信息：
TASKKILL = taskkill / f / im explorer.exe
C：\ WINDOWS \ explorer.exe
文件行为
行为描述：删除文件
详情信息：
C：\ WINDOWS \ 0.log
C：\ WINDOWS \ bitssetup.log
C ：\ WINDOWS \ cmsetacl.log
C：\ WINDOWS \ comsetup.log
C：\ WINDOWS \ control.ini
C：\ WINDOWS \ desktop.ini
C：\ WINDOWS \ DtcInstall.log
C：\ WINDOWS \ explorer.scf
C：\ WINDOWS \ hh.exe
C：\ WINDOWS \ KB2412687.log
C：\ WINDOWS \ msdfmap.ini
C：\ WINDOWS \ msmqinst.log
C：\ WINDOWS \ NOTEPAD.EXE
C：\ WINDOWS \ ntdtcs etup.log
C：\ WINDOWS \ ocgen.log
行为描述：查找文件
详情信息：
FileName = C：\ WINDOWS
FileName = C：\ WINDOWS \ system32
FileName = C：\ WINDOWS \ system32 \ cmd.exe
FileName = C：\文件和设置
FileName = C：\ Documents and Settings \ Administrator
FileName = C：\ Documents and Settings \ Administrator \ Local Settings
FileName = C：\ Documents and Settings \ Administrator \ Local Settings \ Temp
FileName = C：\ Documents and Settings \ Administrator \ Local Settings \％temp％
FileName = c：\ Program
FileName = c：\ *
FileName = c：\ 222c25ed \ Program
FileName = c：\ 222c25ed \ *
FileName = c：\ 222c25ed \ IE8-Setup-Full \ Program
FileName = c：\ 222c25ed \ IE8-Setup-Full \ *
FileName = c：\ 222c25ed \ IE8-Setup-Full \ log \ Program
其他行为
行为描述：创建互斥体
详情信息：
CTF.LBES.MutexDefaultS- *
CTF .Compart.MutexDefaultS- *
CTF.Asm.MutexDefaultS- *
CTF.Layouts.MutexDefaultS- *
CTF.TMD.MutexDefaultS- *
CTF.TimListCache.FMPDefaultS- * MUTEX.DefaultS- *
行为描述：创建事件对象
详情信息：
EventName = DIN PUTWINMM
行为描述：打开事件
详情信息：
HookSwitchHookEnabledEvent
MSFT.VSA.COM.DISABLE.2908
MSFT.VSA.IEC.STATUS.6c736db0
MSFT.VSA.COM.DISABLE.2928
MSFT.VSA.COM.DISABLE.2980
MSFT.VSA。 COM.DISABLE.3016
MSFT.VSA.COM.DISABLE.3168
MSFT.VSA.COM.DISABLE.3176
MSFT.VSA.COM.DISABLE.3444
MSFT.VSA.COM.DISABLE.3564
MSFT.VSA.COM.DISABLE.3720
MSFT.VSA.COM.DISABLE.3684
行为描述：查找指定窗口
详情信息：
NtUserFindWindowEx：[Class，Window] = [Shell_TrayWnd，]
NtUserFindWindowEx：[Class，Window] = [，]
行为描述：枚举窗口
详情信息：
N / A
行为描述：调整进程令牌权限
详情信息：
SE_DEBUG_PRIVILEGE
行为描述：窗口信息
详情信息：
Pid = 2652，Hwnd = 0x80350，Text =确定，ClassName = Button。
Pid = 2652，Hwnd = 0x203ac，Text = JB I LOVE U，ClassName = Static。
Pid = 2652，Hwnd = 0x70354，Text =信息：ClassName =＃32770。
Pid = 2652，Hwnd = 0x103ba，Text =确定，ClassName = Button。
Pid = 2652，Hwnd = 0x103bc，Text = JB I LOVE U，ClassName = Static。
Pid = 2652，Hwnd = 0x103b8，Text =信息：ClassName =＃32770。
Pid = 2652，Hwnd = 0x3038a，Text =确定，ClassName = Button。
Pid = 2652，Hwnd = 0x40358，Text = JB I LOVE U，ClassName = Static。
Pid = 2652，Hwnd = 0x30388，Text =信息：ClassName =＃32770。
行为描述：隐藏指定窗口
详情信息：
[Window，Class] = [，_EL_Timer]
行为描述：打开互斥体
详情信息：
ShimCacheMutex
行为描述：查找文件方式探测虚拟机
详情信息：
FindFirstFileEx：FileName = c：\ Documents and Settings \ Administrator \ Local Settings \ Application Data \ VMware \ Program
FindFirstFileEx：FileName = c：\ Documents and Settings \ Administrator \ Local Settings \ Application Data \ VMware \ *
FindFirstFileEx：FileName = c：\ Documents and Settings \ Administrator \ Local Settings \ Temp \ VMwareDnD \ Program
FindFirstFileEx：FileName = c：\ Documents and Settings \ Administrator \ Local Settings \ Temp \ VMwareDnD \ *
FindFirstFileEx：FileName = c：\ Documents and Settings \ Administrator \“开始”菜单\程序\ Oracle VM VirtualBox Guest Additions \ Program
FindFirstFileEx：FileName = c：\ Documents and Settings \ Administrator \“开始”菜单\程序\ Oracle VM VirtualBox Guest Additions \
FindFirstFileEx：文件 Name = c：\ Documents and Settings \ All Users \ Application Data \ VMware \ Program
FindFirstFileEx：FileName = c：\ Documents and Settings \ All Users \ Application Data \ VMware \ *
FindFirstFileEx：FileName = c：\ Documents and Settings \ root \ Local Settings \ Application Data \ VMware \ Program
FindFirstFileEx：FileName = c：\ Documents and Settings \ root \ Local Settings \ Application Data \ VMware \ *
FindFirstFileEx：FileName = c：\ Program Files \ Common Files \ VMware \ Program
FindFirstFileEx： FileName = c：\ Program Files \ Common Files \ VMware \ *
FindFirstFileEx：FileName = c：\ Program Files \ Oracle \ VirtualBox Guest Additions \ Program
FindFirstFileEx：FileName = c：\ Program Files \ Oracle \ VirtualBox Guest Additions \ *
FindFirstFileEx：文件名= C：\ Program Files文件\的VMware \程序
进程树
**** EXE（PID：0x00000a5c）。
cmd.exe的CMD / C德尔/ F / S / q程序文件（PID：0x00000a98）
的cmd.exe（PID： 0x00000aac）
cmd.exe cmd / c del / f / s / q程序文件（x86）（PID：0x00000ac0）
cmd.exe（PID：0x00000ad4）
cmd.exe（PID：0x00000b04）
cmd.exe（PID：0x00000b 0c）
cmd.exe（PID：0x00000b14）
cmd.exe（PID：0x00000b1c）
cmd.exe（PID：0x00000b2）
cmd.exe（PID：0x00000b2c）
taskkill.exe（PID：0x00000b5c）
cmd.exe（PID：0x00000b2）
taskkill.exe（PID：0x00000bc）
cmd.exe （PID：0x00000b4）cmd.exe（PID：0x00000b54）
taskkill.exe（PID：0x00000b70）
cmd.exe（PID：0x00000b64）
taskkill.exe（PID：0x00000bc8）
cmd.exe（PID：0x00000b6c）
taskkill。 exe（PID：0x00000c60）
cmd.exe（PID：0x00000bac）
taskkill.exe（PID：0x00000c68）
cmd.exe（PID：0x00000c10）
taskkill.exe（PID：0x00000d74）
cmd.exe cmd / c del / f / s / q程序文件（PID：0x00000c40）
cmd.exe cmd / c del / f / s / q程序文件（x86）（PID：0x00000c70）
cmd.exe（PID：0x00000cd0）
cmd.exe（PID：0x00000d04）
cmd.exe （PID：0x00000d28）
cmd.exe（PID：0x00000d7c）
cmd.exe（PID：0x00000d84）
cmd.exe（PID：0x00000d90）
cmd.exe cmd / c del / f / s / q windows（PID：0x00000da4）
cmd。 exe（PID：0x00000db8）
taskkill.exe（PID：0x00000dec）
cmd.exe cmd / c del / f / s / q程序文件（PID：0x00000dc0）
cmd.exe cmd / c del / f / s / q程序文件（ x86）（PID：0x00000dcc）
cmd.exe的（PID：0x00000df4）
的cmd.exe（PID：0x00000dfc）
的cmd.exe（PID：0x00000e10）
的cmd.exe（PID：0x00000e1c）
的cmd.exe（PID：0x00000e3c）
的cmd.exe（PID：0x00000e44）
CMD。 exe cmd / c del / f / s / q windows（PID：0x00000e4c）
cmd.exe（PID：0x00000e54）
taskkill.exe（PID：0x00000e64）
cmd.exe（PID：0x00000e5c）
taskkill.exe（PID：0x00000e88）
cmd .exe cmd / c del / f / s / q程序文件（x86）（PID：0x00000eac）
cmd.exe（PID：0x00000eb4）
cmd.exe（PID：0x00000ed8）
cmd.exe（PID：0x00000ee0）
cmd.exe PID：0x00000ee8）
cmd.exe cmd / c del / f / s / q windows（PID：0x00000f0c）
cmd.exe（PID：0x00000f68）
cmd.exe cmd / c del / f / s / q windows（PID：0x00000f8c）[/mw_shl_code]

显示全部楼层 · 发表于 2017-7-6 11:22:50

[mw_shl_code=sql,true]VirSCAN.org Scanned Report :
Scanned time : 2017-07-06 11:15:07
Scanner results: 23%的杀软(9/39)报告发现病毒
File Name    : 删除文件弹窗病毒.exe
File Size    : 778240 byte
File Type    : application/x-dosexec
MD5          : b0478579adca74494edd8e28f5a23804
SHA1          : 7f66fffc86fc720b08f835e3ea56f9bede1ff9f5
Online report  : http://r.virscan.org/report/d78a23b2e6a1d39948878df4ac9e0f28

Scanner       Engine Ver    Sig Ver          Sig Date Time Scan result
ANTIVIR       1.9.2.0       1.9.159.0       7.14.16.6    28 没有发现病毒
AVAST!       170303-1    4.7.4          2017-03-03    56 引擎扫描超时
AVG          2109/14149    10.0.1405       2017-07-04    1 没有发现病毒
ArcaVir       1.0          2011             2014-05-30    21 没有发现病毒
Authentium    4.6.5       5.3.14          2017-07-05    10 没有发现病毒
Baidu Antivirus2.0.1.0       4.1.3.52192    2.0.1.0       4 Trojan.Generic.Heur.gen
Bitdefender 7.58879       7.90123          2015-01-16    1 没有发现病毒
ClamAV       23533       0.97.5          2017-07-04    6 Win.Trojan.Generic-6260335-1
Comodo       15023       5.1             2017-07-05    3 Worm.Win32.Dropper.RA
Dr.Web       5.0.2.3300    5.0.1.1          2017-06-18    58 引擎超时4
F-PROT       4.6.2.117    6.5.1.5418       2016-02-05    4 W32/Felix:EX:002!Eldorado
F-Secure    2015-08-01-02  9.13             2015-08-01    1 没有发现病毒
Fortinet    49.971, 49.961,5.4.247          2017-07-06    1 没有发现病毒
GData       25.13236    25.13236       2017-07-06    11 没有发现病毒
IKARUS       1.06.01       V1.32.31.0       2016-11-28    1 没有发现病毒
NOD32       1777          3.0.21          2015-06-12    2 a variant of Win32/Packed.FlyS
QQ手机    1.0.0.0       1.0.0.0          2015-12-30    1 没有发现病毒
Quickheal    14.00       14.00          2017-07-05    3 Trojan.Flystudio.100458
SOPHOS       5.32          3.65.2          2016-10-10    10 没有发现病毒
Sunbelt       3.9.2671.2    3.9.2671.2       2017-07-04    3 没有发现病毒
TheHacker    6.8.0.5       6.8.0.5          2017-07-04    1 没有发现病毒
Vba32       3.12.29.5 beta 3.12.29.5 beta 2017-07-04    14 没有发现病毒
ViRobot       2.73          2.73             2015-01-30    1 没有发现病毒
VirusBuster 15.0.985.0    5.5.2.13       2014-12-05    43 没有发现病毒
a-squared    9.0.0.4799    9.0.0.4799       2015-03-08    1 Gen:Variant.Graftor.8204
nProtect    9.9.9       9.9.9          2013-12-27    3 没有发现病毒
卡巴斯基 5.5.33       5.5.33          2014-04-01    45 没有发现病毒
奇虎360    1.0.1       1.0.1          1.0.1       2 HEUR/QVM07.1.D0EE.Malware.Gen
安博士V3 9.9.9       9.9.9          2013-05-28    4 没有发现病毒
安天       AVL SDK 2.0                   1970-01-01    3 没有发现病毒
江民杀毒 16.0.100    1.0.0.0          2017-07-04    2 Trojan.Generic.faf
熊猫卫士 9.05.01       9.05.01          2017-07-04    4 没有发现病毒
瑞星       26.28.00.01 26.28.00.01    2016-07-18    4 没有发现病毒
百度杀毒 1.0          1.0             2017-03-22    1 没有发现病毒
费尔       17.47.17308 1.0.2.2108       2017-07-05    6 没有发现病毒
赛门铁克 20151230.005 1.3.0.24       2015-12-30    1 没有发现病毒
趋势科技 13.302.06    9.500-1005       2017-03-27    1 没有发现病毒
迈克菲    8261          5400.1158       2016-08-18    20 没有发现病毒
金山毒霸 2.1          2.1             2017-07-05    2 没有发现病毒          [/mw_shl_code]

显示全部楼层 · 发表于 2017-7-6 11:32:42

已经向腾讯报告

显示全部楼层 · 发表于 2017-7-6 11:39:11

像恶作剧病毒

显示全部楼层 · 发表于 2017-7-6 11:44:08

费尔动态防御中

清除后黑屏

显示全部楼层 · 发表于 2017-7-6 11:46:53

360kill

显示全部楼层 · 发表于 2017-7-6 11:54:59

微点拦截

[病毒样本] 奇葩样本系列之二（删除文件+弹窗？）【鼓励双击得惊喜】

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源