[2015.5.8]今日样本，VirusTotal：4/56

paul_guo

红伞MISS触发APC。。。。。。。

a15073324542

君陌潇 发表于 2015-5-8 17:31
用BD 基本不用来病毒样本区玩。。。。

为什么?

驭龙

pal家族 发表于 2015-5-8 17:19
这是ma一种拉黑方式嘛？
这段时间确实老是拉黑就是不入库。。。。

其实不算拉黑，是MA的自动分析后的立即云杀（之后会部分入本地库的），未来会MA进一步增强云杀的

skyboybone

金山本地启发

pal家族

skyboybone 发表于 2015-5-8 18:00
金山本地启发

本地启发？
那：云启发病毒，是啥。。。。。

skyboybone

pal家族 发表于 2015-5-8 18:02
本地启发？
那：云启发病毒，是啥。。。。。

只要是KVM都会写“云启发”，但是真正云引擎报的，名称后面会写“（kcloud）”。我的经验是这样。

还有一点需要说明，本地启发和oem引擎一样，不参与监控，所以感觉监控比较薄弱。

白露为霜

qh360 1.0.1 1.0.1 1.0.1 Trojan/Win32.w2b.ui 12

http://r.virscan.org/report/e979351aa45afef9d9a3c2b2a2dadc6c
纳尼，360..1.0版本可以杀！

pal家族

skyboybone 发表于 2015-5-8 18:05
只要是KVM都会写“云启发”，但是真正云引擎报的，名称后面会写“（kcloud）”。我的经验是这样。

原来如此！

白露为霜

文件名称：arisx06.7z
MD5：539d30c66d7c7911218be956d8739208
Sha-1：0f5253f08b6271f9fa624cc9c4e7e0e1fdb1d46c
文件大小：1.48MB
创建时间：2015-05-08 18:04:21
文件类型：7Z
PEID信息：Not a valid PE file










..

火眼点评


      结束指定进程;启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程;设置文件属性;添加Windows防火墙例外，防止访问网络时被防火墙拦截;添加开机自启动项;设置远程线程上下文;创建进程;在其他进程中申请内存
..




loading







loading





loading





loading


危险行为监控


行为描述：启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程

附加信息：
%ProgramFiles%\arisx06.exe

arisx06.exe

.


行为描述：结束指定进程

附加信息：
arisx06.exe

.

..

其他行为监控


行为描述：在其他进程中申请内存

附加信息：
%ProgramFiles%\arisx06.exe

.


行为描述：创建进程

附加信息：
%ProgramFiles%\arisx06.exe

.


行为描述：设置远程线程上下文

附加信息：
%ProgramFiles%\arisx06.exe

.


行为描述：添加开机自启动项

附加信息：
[NetworkInformer] - %ProgramFiles%\arisx06.exe

.


行为描述：添加Windows防火墙例外，防止访问网络时被防火墙拦截

附加信息：
53:UDP >> 53:UDP:*:Enabled:Promo

53:UDP:*:Enabled:Promo

80:TCP >> 80:TCP:*:Enabled:Promo

80:TCP:*:Enabled:Promo

%ProgramFiles%\arisx06.exe >> %ProgramFiles%\arisx06.exe:*:Enabled:Promo

.


行为描述：设置文件属性

附加信息：
%ProgramFiles%\arisx06.exe >> HIDE

.

..




loading


进程操作监控


创建进程：无

启动参数：%ProgramFiles%\arisx06.exe


创建进程：无

启动参数：%ProgramFiles%\arisx06.exe


创建进程：无

启动参数：%ProgramFiles%\arisx06.exe

..

•新增
•删除
•修改
注册表监控

HKEY_CURRENT_USER\\Software\Microsoft\IMEJP\8.1\MSIME\AutoCharWidth

[ActiveModifiedTheme] = [\\xc8\\x80\\xf9\\x7f\\x87...]

[SizeCompletedValid] = [DP62vvzooSSPxu7QMhaTbTzW31uoEl5Xfa4SZv/vVvVhWQw9NTJUlw3AYR/qCtJlvQ==]

[InfoPlayedCurrent] = [\\x00\\x00\\x00\\x00\\x00...]


HKEY_CURRENT_USER\\Software\Microsoft\Spider

[defaultCompressedRecord] = [\\xc8\\x80\\xf9\\x7f\\x73...]

[recordModifiedMax] = [DP62vvzooSSPxu7QMhaTbTzW31uoEl5Xfa4SZv/vVvVhWQw9NTJUlw3AYR/qCtJlvQ==]

[FlagsModifiedValid] = [\\x00\\x00\\x00\\x00\\x00...]


HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Explorer\Advan...

[LineLoadedQuick] = [DP62vvzooSSPxu7QMhaTbTzW31uoEl5Xfa4SZv/vVvVhWQw9NTJUlw3AYR/qCtJlvQ==]

[PlatformCompressedValid] = [\\x00\\x00\\x00\\x00\\x00...]

[DBSavedUse] = [\\xa2\\x49\\x4d\\xf3\\xd9...]

[PersistentLocalizedName] = [\\xc8\\x80\\xf9\\x7f\\x7a...]


HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[NetworkInformer] = [C:\\Program Files\\arisx06.exe]


HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\F...

[%ProgramFiles%\arisx06.exe] = [C:\\Program Files\\arisx06.exe:*:Enabled:Promo]


HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\F...

[80:TCP] = [80:TCP:*:Enabled:Promo]

[53:UDP] = [53:UDP:*:Enabled:Promo]


HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Services\SharedAccess\Paramete...

[%ProgramFiles%\arisx06.exe] = [C:\\Program Files\\arisx06.exe:*:Enabled:Promo]


HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Services\SharedAccess\Paramete...

[80:TCP] = [80:TCP:*:Enabled:Promo]

[53:UDP] = [53:UDP:*:Enabled:Promo]

东方妖妖梦

上报费尔