Detection ratio: 3 / 55 一个带来一窝

EnZhSTReLniKoVa

pal家族 发表于 2015-11-30 23:17
这是扫描内存，自然不会报UDS，带一点行为的特征
感谢分享，很少见到卡巴这样的报毒名

AVA 25.4591
GD 25.5952

*** 进程 ***

进程: 6724
文件名: d6dfe0521d13b069864b93d77a5465706f1544fd78b5c6bd556fa37d7ca0a7b0.exe
路径: c:\users\natsukihanae\desktop\d6dfe0521d13b069864b93d77a5465706f1544fd78b5c6bd556fa37d7ca0a7b0.exe

发行商：: 未知发行商
创建日期: 11/30/15 15:21:52
修改日期: 11/30/15 12:31:36

启动进程：: gdsc.exe
发行商：: G DATA Software AG


*** 操作 ***

另一程序已打开此文件，进程无法继续。
程序已在内存中被修改。
一个未知进程访问了。


*** 隔离区 ***

下列文件被转入隔离区：
C:\Users\NatsukiHanae\Desktop\d6dfe0521d13b069864b93d77a5465706f1544fd78b5c6bd556fa37d7ca0a7b0.exe
c:\users\natsukihanae\appdata\local\temp\vlewcq.gwn

下列注册表项被删除：


YGLhe4J4sHJy3HJy3GJiwHLSctJiYtBy0nLSYmLgcoIpJ4hycnAqdHJCJycmBrdycnJyYmKQKxa+J/cJ6XLSYmJy0qApJycmJicHynLCYmJywqAtJygnKCYGm3KCYmJygsApJycnJyYGrHLCcsJiYtAmJyonKiYGjXKiYmJyouAsJygnKCYGhyonKScpJgaHKycsJywmBqcrG681ZiooHPk1ZisnG681ZioHty0nJycnJga3LycnJycmBscuJycmJicHxy8nLiYmJw7XKScqJyomBucoJ2gK9yknJycnJgZoKSd3gKdyggAA
规则版本： 5.0.71
OS: Windows 10.0 Service Pack 0.0 Build: 10586 - Workstation 64bit OS
DLL版本： 55982

"C:\Users\NatsukiHanae\Desktop\d6dfe0521d13b069864b93d77a5465706f1544fd78b5c6bd556fa37d7ca0a7b0.exe"
MD5: 592899E0EB3C06FB9FDA59D03E4B5B53
"C:\Users\NatsukiHanae\Desktop\d6dfe0521d13b069864b93d77a5465706f1544fd78b5c6bd556fa37d7ca0a7b0.exe"
MD5:



以下GD漏洞防御

在恶意程序代码注入到受保护的进程后试图执行该恶意程序代码。
该进程已被终止。

有关该恶意代码的信息：
受保护进程：未知（8296）
源模块：未知
文件名称：未知

这些信息同样将被保存在日志文件中。


---

ASVersion: 1.5
bitness: 64
detection: 1
eip: ffffffff
gdataversion: G DATA 互联网安全套装
helperversion: 2.0.15328.320
osversion: Windows 10 Pro x64
silent: false
stacktrace: 3: !+0x6705A970
2: ntdll.dll!+0xD6D60000
1: ntdll.dll!+0xD6D600E0
0: !+0x28

targetversion: 11.0.10586.11
tid: 7632
version: 2.0.15258.309


在恶意程序代码注入到受保护的进程后试图执行该恶意程序代码。
该进程已被终止。

有关该恶意代码的信息：
受保护进程：未知（5324）
源模块：未知
文件名称：未知

这些信息同样将被保存在日志文件中。


---

ASVersion: 1.5
bitness: 32
detection: 1
eip: 86a598d
gdataversion: G DATA 互联网安全套装
helperversion: 2.0.15328.320
osversion: Windows 10 Pro x64
silent: false
stacktrace:
targetversion: 3.1.0.340
tid: 2008


在恶意程序代码注入到受保护的进程后试图执行该恶意程序代码。
该进程已被终止。

有关该恶意代码的信息：
受保护进程：未知（11632）
源模块：未知
文件名称：未知

这些信息同样将被保存在日志文件中。


---

ASVersion: 1.5
bitness: 64
detection: 1
eip: ffffffff
gdataversion: G DATA 互联网安全套装
helperversion: 2.0.15328.320
osversion: Windows 10 Pro x64
silent: false
stacktrace: 3: !+0xA23BA970
2: ntdll.dll!+0xD6D60000
1: ntdll.dll!+0xD6D600E0
0: !+0x28

targetversion: 11.0.10586.11
tid: 11304
version: 2.0.15258.309


在恶意程序代码注入到受保护的进程后试图执行该恶意程序代码。
该进程已被终止。

有关该恶意代码的信息：
受保护进程：未知（5956）
源模块：未知
文件名称：未知

这些信息同样将被保存在日志文件中。


---

ASVersion: 1.5
bitness: 64
detection: 1
eip: ffffffff
gdataversion: G DATA 互联网安全套装
helperversion: 2.0.15328.320
osversion: Windows 10 Pro x64
silent: false
stacktrace: 3: !+0x1F15A970
2: ntdll.dll!+0xD6D60000
1: ntdll.dll!+0xD6D600E0
0: !+0x28

targetversion: 11.0.10586.11
tid: 6364
version: 2.0.15258.309



在恶意程序代码注入到受保护的进程后试图执行该恶意程序代码。
该进程已被终止。

有关该恶意代码的信息：
受保护进程：未知（9648）
源模块：未知
文件名称：未知

这些信息同样将被保存在日志文件中。


---

ASVersion: 1.5
bitness: 64
detection: 1
eip: ffffffff
gdataversion: G DATA 互联网安全套装
helperversion: 2.0.15328.320
osversion: Windows 10 Pro x64
silent: false
stacktrace: 3: !+0x59A970
2: ntdll.dll!+0xD6D60000
1: ntdll.dll!+0xD6D600E0
0: !+0x28

targetversion: 11.0.10586.11
tid: 1188
version: 2.0.15258.309

EnZhSTReLniKoVa

墨家小子 发表于 2015-11-30 23:17
城会玩

31楼  GD结果

EnZhSTReLniKoVa

yzt1004 发表于 2015-11-30 23:21
我没说它是啊！！

hitman pro 是扫描器，hitman pro alert 是全方面的一个辅助套装。两者license 用的 ...

31楼  GD结果

pal家族

君陌潇 发表于 2015-11-30 23:33
AVA 25.4591
GD 25.5952

我还是不知道到底是哪个样本弄得，
今晚太累了，睡了
晚安哈

EnZhSTReLniKoVa

pal家族 发表于 2015-11-30 23:35
我还是不知道到底是哪个样本弄得，
今晚太累了，睡了
晚安哈

第一个 会感染杀毒软件

ELOHIM

pal家族 发表于 2015-11-30 21:41
重启之后再次快速扫描，仍然是全红！

请允许我笑一下……
建议每双击一次都检查一次都还原一次。
原谅我是唐僧，我很罗嗦的……

驭龙

wjy19800315 发表于 2015-11-30 20:59
数字全部拉黑
@驭龙

昨天我下线了
Log
E:\VIR\MJXZ\d6dfe0521d13b069864b93d77a5465706f1544fd78b5c6bd556fa37d7ca0a7b0.rar » RAR » d6dfe0521d13b069864b93d77a5465706f1544fd78b5c6bd556fa37d7ca0a7b0.exe - Win32/TrojanDownloader.Nymaim.BA trojan - deleted - quarantined
E:\VIR\MJXZ\glitch-56.rar » RAR » glitch-56.exe - Win32/TrojanDownloader.Nymaim.BA trojan - deleted - quarantined
E:\VIR\MJXZ\jedec-3.rar » RAR » jedec-3.exe - Win32/TrojanDownloader.Nymaim.BA trojan - deleted - quarantined

胖福

glitch-56.exe双击过诺顿！

驭龙

yzt1004 发表于 2015-11-30 23:12
事实证明这一窝子绝非善类

emsisoft 报告操作进程，选择允许后，无论快速扫描，还是主动防御，统 ...

我这几天没时间，只能先收藏这几个病毒了，哈

T.Yoshiyuki

驭龙 发表于 2015-12-1 09:16
昨天我下线了
Log
E:\VIR\MJXZ\d6dfe0521d13b069864b93d77a5465706f1544fd78b5c6bd556fa37d7ca0a7b0.ra ...

看来ESET没漏 那就好
不过我正在想 按照ESET的尿性不是文件监控被过了基本就没戏了吗……
除非把HIPS开成全手动模式 权当增加一步主防

还有我很好奇ESET的信誉云是干嘛用的 除了做系统进程和特定程序的分析，似乎没有融入扫描和监控……

然后扫描的时候不知道怎样才能看出是普通的签名杀还是启发杀……这点可以做到吗