Malware 2016/10/01

显示全部楼层 · 发表于 2016-10-1 19:23:56

Malware

https://www.ts-safe.org.cn/sample/2016/10/01/

显示全部楼层 · 发表于 2016-10-1 19:38:39

红伞全杀
不上图了

显示全部楼层 · 发表于 2016-10-1 19:47:33

样本：10x

ESET-NOD32 ess 8 [v14206/20160930]

Total kill 5x

解压 kill 4x

[mw_shl_code=css,true]2016-10-1 19:42:00       文件系统实时防护       文件       E:\VirZ\CADAAE6EBC22A0CB61D9F3D79D5B8E6FCFD9CF3F\kjhjdx.exe       Win32/GenKryptik.FOO 特洛伊木马的变种       通过删除清除       RAYMOND-9B1A7AC\Raymond       在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).       CADAAE6EBC22A0CB61D9F3D79D5B8E6FCFD9CF3F       2016-10-1 17:39:12
2016-10-1 19:41:29       文件系统实时防护       文件       E:\VirZ\992F97A5E26EB1271FFCA57894CDBCB34C3F9E1B\164582274575_40223299598_246502255422553_ngpj.Scr       MSIL/Kryptik.EKU 特洛伊木马的变种       通过删除清除       RAYMOND-9B1A7AC\Raymond       在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).       992F97A5E26EB1271FFCA57894CDBCB34C3F9E1B       2016-10-1 17:45:18
2016-10-1 19:40:41       文件系统实时防护       文件       E:\VirZ\3F322477133D3EBEED518C584A9D45484809F72D\_ RENOMEIE _.exe       MSIL/DllInject.LN 潜在的不安全应用程序的变种       已删除       RAYMOND-9B1A7AC\Raymond       在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).       3F322477133D3EBEED518C584A9D45484809F72D       2016-10-1 18:05:20
2016-10-1 19:40:27       文件系统实时防护       文件       E:\VirZ\0E4DF57CAC8032CEDDBE4157EAD9470C5340E671\SkypeH.exe       MSIL/Kryptik.HEH 特洛伊木马的变种       通过删除清除       RAYMOND-9B1A7AC\Raymond       在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).       0E4DF57CAC8032CEDDBE4157EAD9470C5340E671       2016-10-1 17:39:26[/mw_shl_code]

右键二扫 kill 1x

[mw_shl_code=css,true]正在扫描日志
病毒库版本: 14206 (20160930)
日期: 2016-10-1  时间: 19:42:30
已扫描的磁盘、文件夹和文件: E:\VirZ\0E4DF57CAC8032CEDDBE4157EAD9470C5340E671;E:\VirZ\3F322477133D3EBEED518C584A9D45484809F72D;E:\VirZ\09A5483EA117B6466AC2FBE8B80571EBEE5A9BA0;E:\VirZ\326FEB3883EE52C60B64DD36B990D1CBDCA94870;E:\VirZ\346DD54A509C79120E3DCB957A260E5ED99F1F3E;E:\VirZ\873DECBDF508A56FFA680D294B15F7AABB85A002;E:\VirZ\992F97A5E26EB1271FFCA57894CDBCB34C3F9E1B;E:\VirZ\7703FD6A7D2728E93DB3B2A11B6CB32A5CF21A40;E:\VirZ\C3995EA6B32D62946C1D22522616C686F979CDBE;E:\VirZ\CADAAE6EBC22A0CB61D9F3D79D5B8E6FCFD9CF3F
E:\VirZ\346DD54A509C79120E3DCB957A260E5ED99F1F3E\setup-multi2.exe > INNO > file0032.bin > 7ZIP >  - 读取压缩文件时出错
E:\VirZ\C3995EA6B32D62946C1D22522616C686F979CDBE\Purches Order.jar > ZIP > f/OveOverviewrviewOverviOvervieOverviewwewOverviewp.class - Java/Adwind.ZF 特洛伊木马 - 通过删除清除 [1]
已扫描的对象数: 325
发现的威胁数: 1
已清除对象数: 1
完成时间: 19:42:33  总扫描时间: 3 秒 (00:00:03)

备注:
[1] 由于对象中仅包含病毒主体，因此已被删除。[/mw_shl_code]

显示全部楼层 · 发表于 2016-10-1 19:54:30

本帖最后由 fireherman 于 2016-10-1 20:18 编辑

其余5x：

09A5483EA117B6466AC2FBE8B80571EBEE5A9BA0.zip

反虚拟机

346DD54A509C79120E3DCB957A260E5ED99F1F3E.zip

这个是挖矿机？一个《古墓丽影》居然要64GB预留空间？

eqhgl.cmd，双击后加载内存，但没效果（任务管理器结束）。

jovhs.exe，双击后，调用脚本执行器，被HIPS阻止：

[mw_shl_code=css,true]2016-10-1 20:12:05       E:\VirZ\873DECBDF508A56FFA680D294B15F7AABB85A002\jovhs.exe       启动新应用程序       C:\WINDOWS\system32\wscript.exe       已允许       [FD/AD]单步记录
2016-10-1 20:12:05       E:\VirZ\873DECBDF508A56FFA680D294B15F7AABB85A002\jovhs.exe       获取文件访问权       C:\WINDOWS\system32\wscript.exe       允许一些访问       [FD/AD]单步记录       写入到文件
2016-10-1 20:12:05       E:\VirZ\873DECBDF508A56FFA680D294B15F7AABB85A002\jovhs.exe       启动新应用程序       C:\WINDOWS\system32\cmd.exe       已允许       [FD/AD]单步记录
2016-10-1 20:12:05       E:\VirZ\873DECBDF508A56FFA680D294B15F7AABB85A002\jovhs.exe       获取文件访问权       C:\WINDOWS\system32\cmd.exe       允许一些访问       [FD/AD]单步记录       写入到文件
2016-10-1 20:12:05       E:\VirZ\873DECBDF508A56FFA680D294B15F7AABB85A002\jovhs.exe       获取文件访问权       C:\Documents and Settings\Raymond\fpeia\ddymqvp.js       允许一些访问       [FD/AD]单步记录       删除文件,写入到文件,获取文件独占访问权
2016-10-1 20:12:04       E:\VirZ\873DECBDF508A56FFA680D294B15F7AABB85A002\jovhs.exe       启动新应用程序       C:\WINDOWS\system32\cmd.exe       已允许       [FD/AD]单步记录
2016-10-1 20:12:04       E:\VirZ\873DECBDF508A56FFA680D294B15F7AABB85A002\jovhs.exe       获取文件访问权       C:\WINDOWS\system32\cmd.exe       允许一些访问       [FD/AD]单步记录       写入到文件
2016-10-1 20:12:03       E:\VirZ\873DECBDF508A56FFA680D294B15F7AABB85A002\jovhs.exe       启动新应用程序       C:\WINDOWS\system32\conime.exe       已允许       [FD/AD]单步记录    [/mw_shl_code]

还有一个jar，运行不了（无法测试），解压后扫描 miss

显示全部楼层 · 发表于 2016-10-1 19:56:32

fireherman 发表于 2016-10-1 19:47
样本：10x

ESET-NOD32 ess 8 [v14206/20160930]

右键二扫这个过程，是通过了云分析一类的方式吗？
还是说本身程序没有反应过来？

显示全部楼层 · 发表于 2016-10-1 19:58:30

fireherman 发表于 2016-10-1 19:54
其余5x：

09A5483EA117B6466AC2FBE8B80571EBEE5A9BA0.zip

要不要试下实机！

准备个老机器专门用于样本测试！

显示全部楼层 · 发表于 2016-10-1 20:05:22

ELOHIM 发表于 2016-10-1 19:56
右键二扫这个过程，是通过了云分析一类的方式吗？
还是说本身程序没有反应过来？

右键（手动）扫描，设置为：【详细分析】+【加壳程序（脱壳）】

显示全部楼层 · 发表于 2016-10-1 20:05:50

heishen2010 发表于 2016-10-1 19:58
要不要试下实机！准备个老机器专门用于样本测试！

那……那……太恐怖啦……我不要……

显示全部楼层 · 发表于 2016-10-1 20:09:47

fireherman 发表于 2016-10-1 20:05
右键（手动）扫描，设置为：【详细分析】+【加壳程序（脱壳）】

谢谢，

ESET还可以这样，太牛啦！

显示全部楼层 · 发表于 2016-10-1 22:02:22

这里面有某个样本Bitdefender目前云拉黑

[病毒样本] Malware 2016/10/01

本帖子中包含更多资源