#神龟安全组病毒测试包#2016.12.11 10x

神龟Turmi

诈尸。。。所有样本均收集自外站 感谢Malwr和Hybrid-analysis提供文件分析服务
从百度网盘下载：https://pan.baidu.com/s/1miPlyTM
从神龟博客下载：https://www.wugui.io/index.php/archives/15.html
报毒名详见压缩包内Reference virus name.txt文件

另 神龟安全小组招人 有意加入请联系邮箱 info%yeotech.net （将%替换为@）

01.exe
火绒:Backdoor/Bladabindi.l
Malwarebytes:Trojan.Agent.MSIL
360TS:HEUR/QVM03.0.0000.Malware.Gen

02.vbs
火绒:TrojanDropper/VBS.Agent.i
Malwarebytes:√
360TS:Win32/Trojan.Dropper.57d

03.exe
火绒:Virtool/MSIL.Obfuscated.b
Malwarebytes:√
360TS:HEUR/QVM03.0.BDBF.Malware.Gen

04.exe
火绒:√
Malwarebytes:Trojan.Dropper
360TS:Win32/Trojan.e8f

05.exe
火绒:HEUR:Trojan/Agent.cl
Malwarebytes:√
360TS:√

06.exe
火绒:√
Malwarebytes:√
360TS:√

07.exe
火绒:Backdoor/Bladabindi.l
Malwarebytes:Backdoor.NJRat
360TS:HEUR/QVM03.0.0000.Malware.Gen

08.exe
火绒:√
Malwarebytes:√
360TS:√

09.js
火绒:√
Malwarebytes:√
360TS:virus.js.gen.1

10.exe
火绒:√
Malwarebytes:√
360TS:HEUR/QVM03.0.BD83.Malware.Gen

统计：火绒 5/10   Malwarebytes 3/10   360TS 7/10

fireherman

好久不见龟龟 去哪里把妹了？

ESET-NOD32 ess 8 [v14584/20161210]

Total kill 5x (Fix 0x)

解压 kill 5x (Fix 0x)

[mw_shl_code=css,true]2016/12/11 18:59:21        文件系统实时防护        文件        Z:\TEMP\16.12.11\07.vir        MSIL/Bladabindi.AS 特洛伊木马 的变种        通过删除清除        PC-X        在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe (hash). ///
2016/12/11 18:59:20        文件系统实时防护        文件        Z:\TEMP\16.12.11\04.vir        多个威胁        通过删除清除        PC-X        在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe.               
2016/12/11 18:59:18        文件系统实时防护        文件        Z:\TEMP\16.12.11\03.vir        MSIL/Packed.Confuser.P 可疑应用程序 的变种        通过删除清除        PC-X        在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe (hash). ///
2016/12/11 18:59:17        文件系统实时防护        文件        Z:\TEMP\16.12.11\02.vir        VBS/TrojanDropper.Agent.NFA 特洛伊木马        通过删除清除        PC-X        在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe (hash). ///
2016/12/11 18:59:17        文件系统实时防护        文件        Z:\TEMP\16.12.11\01.vir        MSIL/Bladabindi.AS 特洛伊木马 的变种        通过删除清除        PC-X        在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe (hash). ///[/mw_shl_code]

右键二扫 miss

剩下5x全部自动上报

神龟Turmi

fireherman 发表于 2016-12-11 18:58
ESET 占位，好久不见龟龟  去哪里把妹了？

最近上本科自考的课。。。没时间的说

Eset小粉絲

Avira 9x
[mw_shl_code=css,true]Start of the scan: Sunday, 11 December, 2016  19:35

Starting the file scan:

Begin scan in 'C:\Users\Ivan\Downloads\Compressed\16.12.11'
C:\Users\Ivan\Downloads\Compressed\16.12.11\01.vir
  [DETECTION] Contains a recognition pattern of the (harmful) BDS/Bladabindi.kgjz back-door program
C:\Users\Ivan\Downloads\Compressed\16.12.11\02.vir
  [DETECTION] Contains recognition pattern of the HTML/ExpKit.Gen2 HTML script virus
C:\Users\Ivan\Downloads\Compressed\16.12.11\03.vir
  [DETECTION] Is the TR/Crypt.Xpack.suhnr Trojan
C:\Users\Ivan\Downloads\Compressed\16.12.11\04.vir
    [0] Archive type: NSIS
    --> ProgramFilesDir/Licence_saver.exe
        [DETECTION] Is the TR/Drop.Agent.17992.1 Trojan
        [WARNING]   Infected files in archives cannot be repaired
    --> ProgramFilesDir/Registration.exe
        [DETECTION] Is the TR/Drop.Agent.eihre Trojan
        [WARNING]   Infected files in archives cannot be repaired
    --> ProgramFilesDir/exLayout.dll
        [DETECTION] Is the TR/Drop.Agent.264704.9 Trojan
        [WARNING]   Infected files in archives cannot be repaired
C:\Users\Ivan\Downloads\Compressed\16.12.11\05.vir
  [DETECTION] Is the TR/Drop.Agent.fzvjf Trojan
C:\Users\Ivan\Downloads\Compressed\16.12.11\06.vir
  [DETECTION] Contains recognition pattern of the VCL.671 virus
C:\Users\Ivan\Downloads\Compressed\16.12.11\07.vir
  [DETECTION] Is the TR/Dropper.Gen7 Trojan
C:\Users\Ivan\Downloads\Compressed\16.12.11\08.vir
  [DETECTION] Contains a recognition pattern of the (harmful) BDS/Poison.pmdk back-door program
C:\Users\Ivan\Downloads\Compressed\16.12.11\10.vir
  [DETECTION] Is the TR/Dropper.Gen Trojan[/mw_shl_code]

Eset小粉絲

加入你們小組都幹些啥？

BDTS2017：6X

dongwenqi

卡巴杀9个，只剩8.exe

ese567

fsp：
[mw_shl_code=css,true]Generic.MSIL.Bladabindi.62E2F1E0
C:\Users\Administrator\Desktop\16.12.11\01.vir: 已清除
Gen:Variant.Zusy.143020
C:\Users\Administrator\Desktop\16.12.11\03.vir: 已清除
Trojan.GenericKD.3856438
C:\Users\Administrator\Desktop\16.12.11\05.vir: 已清除
VCL.O.427
C:\Users\Administrator\Desktop\16.12.11\06.vir: 已清除
Generic.MSIL.Bladabindi.C800E1D3
C:\Users\Administrator\Desktop\16.12.11\07.vir: 已清除
Gen:Variant.Zusy.193226
C:\Users\Administrator\Desktop\16.12.11\04.vir\stream_13.bin: 已跳过
Trojan.GenericKD.3751487
C:\Users\Administrator\Desktop\16.12.11\04.vir\stream_14.bin: 已跳过
Trojan.GenericKD.3751487
C:\Users\Administrator\Desktop\16.12.11\04.vir\stream_14.bin: 已跳过
Gen:Variant.Kazy.773501
C:\Users\Administrator\Desktop\16.12.11\04.vir\stream_16.bin: 已跳过
Gen:Variant.Kazy.773501
C:\Users\Administrator\Desktop\16.12.11\04.vir\stream_16.bin: 已跳过
Gen:Variant.Zusy.193226
C:\Users\Administrator\Desktop\16.12.11\04.vir: 已清除
版本信息
病毒定义数据库：

2016-12-11_09
扫描引擎：

F-Secure Aquarius: 11.00.01, 2016-12-11
F-Secure Gemini: 3.02.414, 2016-12-09
F-Secure Hydra: 5.15.154, 2016-12-09
F-Secure Online: 16.21.67
F-Secure USS: 5.08.198, 2016-06-30
[/mw_shl_code]

神龟Turmi

Eset小粉絲 发表于 2016-12-11 19:40
加入你們小組都幹些啥？

找样本。。。然后一个月做一次横向测试。。。
工资的话可能不多 有福利（团队内共享ss扶墙 服务器资源 和一些其他的资源）

wh759626933

趋势
监控4X




右键二扫1X



剩余样本

开始双击
第一个报错

后面除了js信誉杀



js被过