楼主: popu111
收起左侧

[病毒样本] 【翻车时间】YourRansom build170803 (VT 3 / 63)

  [复制链接]
popu111
 楼主| 发表于 2017-8-4 11:20:44 | 显示全部楼层
DF快递 发表于 2017-8-4 11:16
过小a,沙盒运行闪推

有简单的反虚拟环境
abcxzr5
发表于 2017-8-4 11:24:44 | 显示全部楼层

哎哟,BD 卡巴都翻车辣
2318227009
发表于 2017-8-4 11:28:17 | 显示全部楼层
关键行为
行为描述:        直接获取CPU时钟
详情信息:       
EAX = 0xbcb3286c, EDX = 0x000000b3
EAX = 0xbcb328b8, EDX = 0x000000b3
EAX = 0xbcb32904, EDX = 0x000000b3
EAX = 0xbcb32950, EDX = 0x000000b3
行为描述:        直接调用系统关键API
详情信息:       
Index = 0x0000010F, Name: NtWaitForSingleObject, Instruction Address = 0x004469E2
进程行为
行为描述:        创建本地线程
详情信息:       
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2628, ThreadID = 2644, StartAddress = 00446900, Parameter = 4CB3A000
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2628, ThreadID = 2648, StartAddress = 00446900, Parameter = 4CB3A280
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2628, ThreadID = 2652, StartAddress = 00446900, Parameter = 4CB3A500
文件行为
行为描述:        查找文件
详情信息:       
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\*
其他行为
行为描述:        直接获取CPU时钟
详情信息:       
EAX = 0xbcb3286c, EDX = 0x000000b3
EAX = 0xbcb328b8, EDX = 0x000000b3
EAX = 0xbcb32904, EDX = 0x000000b3
EAX = 0xbcb32950, EDX = 0x000000b3
行为描述:        直接调用系统关键API
详情信息:       
Index = 0x0000010F, Name: NtWaitForSingleObject, Instruction Address = 0x004469E2
行为描述:        创建事件对象
详情信息:       
EventName = DINPUTWINMM
进程树
****.exe (PID: 0x00000a44)
a445441
发表于 2017-8-4 11:29:54 | 显示全部楼层
虚拟机运行不起来,微点MISS
popu111
 楼主| 发表于 2017-8-4 11:30:37 | 显示全部楼层
2318227009 发表于 2017-8-4 11:28
关键行为
行为描述:        直接获取CPU时钟
详情信息:       

直接复制哈勃是不是有点水?刷屏还毫无意义那种,发链接更合适一些吧?
2318227009
发表于 2017-8-4 11:34:32 | 显示全部楼层
popu111 发表于 2017-8-4 11:30
直接复制哈勃是不是有点水?刷屏还毫无意义那种,发链接更合适一些吧?

....哦       https://habo.qq.com/file/showdet ... pk=ADAGZ11kB2cIPVs4
引领四基生活
发表于 2017-8-4 11:36:38 | 显示全部楼层
本帖最后由 引领四基生活 于 2017-8-4 11:43 编辑

微点Win7 32 MISS
火绒入库

心醉咖啡
发表于 2017-8-4 11:42:25 | 显示全部楼层
毒霸扫描miss
猫大人
发表于 2017-8-4 11:44:15 | 显示全部楼层
卡巴翻车很难受
但是看到BD也翻车了,心里平衡了点
我打赌FSP的DG拦截绝壁不是因为检测到了可疑行为。
EMSI要是BUG修复下,HIPS能多给一点拦截程序的行为信息就好了,现在还是不太好用。
popu111
 楼主| 发表于 2017-8-4 11:46:11 | 显示全部楼层
猫大人 发表于 2017-8-4 11:44
卡巴翻车很难受
但是看到BD也翻车了,心里平衡了点
我打赌FSP的DG拦截绝壁不是因为检测到了可疑行为。

哈哈哈,不常见大家都懂,dg这逻辑真是坑

以及BD默认设置的话理论上来说会侧翻,但是因为我在非正常环境下测试并没有翻车
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-10-18 13:25 , Processed in 0.074630 second(s), 5 queries , MemCache On.

快速回复 返回顶部 返回列表