2个

白露为霜

Ｍy↘じ★ve

1只

windows7爱好者

一只已经入库
另一只双击，数签已经过期了，顺带提一下，过UAC
允许后添加启动项，无其他异常，手动清理，貌似是个远控？
蜘蛛对远控就这样
吗的，等等，这货不好搞啊，任务管理器结束进程自动恢复，文件删除自恢复，出来7-8个进程，疯狂要求联网
本大爷今天陪你玩一玩

发现你了

这东西还蛮顽固，删掉注册表和文件，要求联网，我拒绝，还是恢复了，时不时要申请联网，连你妹啊
粉碎机走起
数字的粉碎机不管用，又联网

换个粉碎机，停止工作时，又要求联网

无限恢复到底是什么鬼，我用不了ARK，否则

aboringman

ESET：

扫描：kill 1 file；

C:\Users\killer\Desktop\“.exe - a variant of MSIL/Injector.OAP trojan - cleaned by deleting [1]

双击：关闭监控，实机双击，AMS kill 活动的“.exe（即带有无效数签的），另一个无反应。

Time;Scanner;Object type;Object;Threat;Action;User;Information;Hash

2016/2/12 0:13:51;Advanced memory scanner;file;Operating memory » “.exe(5648);MSIL/Agent.ABP trojan;cleaned - contained infected files;;;E3712FC2C200C65B1B6AB6AE63D3FA01CDF46DF4



AVG：

扫描：kill 1 file；

"";"Virus found Win32/Heur, C:\Users\killer\Desktop\'.exe";"Healed, Moved to Virus Vault";"File or Directory";"2016/2/12, 0:18:12"

双击：关闭监控，实机双击，IDP双杀。

'.exe：

"";"IDP.Virus.E2B43537, C:\Users\killer\Desktop\新建文件夹\'.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/2/12, 0:20:44"
"";", C:\Users\killer\Desktop\新建文件夹\'.exe";"Object was blocked";"Process";"2016/2/12, 0:20:44"
"";", C:\Users\killer\AppData\Local\Temp\MBX@2B8@1331B08.###";"Deleted, Moved to Virus Vault";"File or Directory";"2016/2/12, 0:20:44"
"";", C:\Users\killer\AppData\Local\Temp\MBX@2B8@1331AF8.###";"Deleted, Moved to Virus Vault";"File or Directory";"2016/2/12, 0:20:44"

“.exe：

"";"IDP.SMP.12, C:\Users\killer\Desktop\新建文件夹\“.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/2/12, 0:23:51"
"";", C:\Users\killer\Desktop\新建文件夹\“.exe";"Object was blocked";"Process";"2016/2/12, 0:23:51"
"";", C:\Windows\System32\spoolsv.exe";"Object was blocked";"Process";"2016/2/12, 0:23:51"
"";", C:\Windows\System32\svchost.exe";"Object was blocked";"Process";"2016/2/12, 0:23:51"
"";", D:\360se6\Application\360se.exe";"Object was blocked";"Process";"2016/2/12, 0:23:51"
"";", C:\Users\killer\Desktop\新建文件夹\“.exe";"Object was blocked";"Process";"2016/2/12, 0:23:51"

windows7爱好者

aboringman 发表于 2016-2-12 00:17
ESET：

扫描：kill 1 file；

蜘蛛入库那只双击
这是干什么的

aboringman

windows7爱好者 发表于 2016-2-12 00:21
蜘蛛入库那只双击
这是干什么的

等会，我正在双击

aboringman

windows7爱好者 发表于 2016-2-12 00:21
蜘蛛入库那只双击
这是干什么的

那个家伙向以下的路径释放文件（刚发现用错词了。。。。。。）：

C:\Users\XXXXXX（为你当前的用户名）\AppData\Local\Temp\MBX@2B8@1331B08.###

然后IDP就杀掉它了，文件是否安全，我不知道。

windows7爱好者

aboringman 发表于 2016-2-12 00:34
那个家伙向以下的路径释放衍生物：

C:%users\XXXXXX（为你当前的用户名）\AppData\Local\Temp\MBX@2B ...

衍生物被我手动删掉了，蜘蛛的主防这次不给力啊，还好入库一只，挽回点面子
IDP果然厉害，问题是，我现在正在想办法整掉这个再生能力非常6666的样本

aboringman

windows7爱好者 发表于 2016-2-12 00:38
衍生物被我手动删掉了，蜘蛛的主防这次不给力啊，还好入库一只，挽回点面子
IDP果然厉害，问题是 ...

你刚才提到的样本没有注入行为，所以DPH没反应也正常。

再生能力6666的样本是指哪个，注入的么。。。。。。

windows7爱好者

aboringman 发表于 2016-2-12 00:40
你刚才提到的样本没有注入行为，所以DPH没反应也正常。

再生能力6666的样本是指哪个，注入的么。。。 ...

好吧，看错了，最后一张联网截图，应该是样本停止工作时微软的错误报告发送程序，IP是美国的，但蜘蛛为什么说是未知应用程序启动的呢，你看我截图，我一直在更新直播哎