15年第三枚样本，如果没有分析错的话，应该是个下载器，过了很多很多

利刀1937

驭龙 发表于 2015-1-1 15:05
哇，你那里能成功下载流氓了，看来需要Windows 7以上才会中招？

可能吧。压缩包。360沙箱运行   win7 x64

paul_guo

TO FS。。。。。。。。。

lll714775117

驭龙 发表于 2015-1-1 15:06
六楼的好像已经运行成功，正在接收流氓，哈哈

那估计就是火眼有BUG，可以试试别的沙箱能不能跑出来

驭龙

lll714775117 发表于 2015-1-1 15:12
那估计就是火眼有BUG，可以试试别的沙箱能不能跑出来

我不用沙箱，今天这几个是实机上毒网抓的，就不继续分析了，反正都是过MA的，嘿嘿

lll714775117

驭龙 发表于 2015-1-1 15:14
我不用沙箱，今天这几个是实机上毒网抓的，就不继续分析了，反正都是过MA的，嘿嘿

再来几个呗

驭龙

lll714775117 发表于 2015-1-1 15:17
再来几个呗

我去玩一会别的，放松一下，一会儿再来两个，怎么样？哈

蓝核

双击 然后出现6楼的场面 下面诺顿自动防护出马……

文件名: lm_01268_1268.exe
威胁名称: Suspicious.Cloud.9完整路径: c:\sandbox\justin\defaultbox\user\current\appdata\local\temp\lm_01268_1268.exe

____________________________

____________________________



____________________________


lm_01268_1268.exe 威胁名称: Suspicious.Cloud.9
定位


少量用户信任的文件
诺顿社区中有 不到 100 名用户使用了此文件。

发布已久的文件
该文件已在 2 个月 前发行。

高
此文件具有高风险。


____________________________


http://index.114115.com/lm_01268_1268.css
已下载文件 lm_01268_1268.exe 威胁名称: Suspicious.Cloud.9
自 114115.com
来源: 外部介质

lm_01268_1268.exe

____________________________

文件操作

文件: c:\sandbox\justin\defaultbox\user\current\appdata\local\temp\ lm_01268_1268.exe 已删除
____________________________


文件指纹 - SHA:
5c8d20497287fbd23757b5b0b1f69248aadb64d1348cf00c53734918e0c49414
文件指纹 - MD5:
不可用

lll714775117

驭龙 发表于 2015-1-1 15:19
我去玩一会别的，放松一下，一会儿再来两个，怎么样？哈

B超打不开了，没法玩了
以前我无聊的时候直接用易语言写个dropper,一次性打包了20多个病毒上传到沙箱，结果火眼和哈勃直接没跑出来，就B超跑出来了，那个行为叫一个壮观啊

驭龙

lll714775117 发表于 2015-1-1 15:23
B超打不开了，没法玩了
以前我无聊的时候直接用易语言写个dropper,一次性打包了20多个病毒上传 ...

哈，厉害啊，我是完全不会写病毒，其实也不算学不会，只是不好这口，哈哈

幽冥の龙

不是流氓下载器，只是个 天气助手的静默安装下载器……
还把 IE 参数改成了 “C:\Program Files\Internet Explorer\iexplore.exe" http://www.114115.com/?jm