#神龟测试包#2016.12.14 10x

显示全部楼层 · 发表于 2016-12-14 21:52:38

所有样本均收集自外站感谢Malwr和Hybrid-analysis提供文件分析服务感谢VirusTotal提供在线扫描服务感谢AmazonWebService和百度网盘提供下载用节点

从百度网盘下载：https://pan.baidu.com/s/1i5x7tuX
从神龟博客下载：https://www.wugui.io/index.php/archives/18.html
解压密码：bbs.kafan.cn
报毒名详见压缩包内Reference virus name.txt文件

火绒安全：4.0.1.5 Malwarebytes Premium：3.0.4.1269 Kaspersky结果来自VirusTotal在线扫描

[mw_shl_code=html,true]01.wsf
Huorong:√
Malwarebytes:√
Kaspersky:√

02.exe
Huorong:HEUR:VirTool/Obfuscator.gen!C
Malwarebytes:√
Kaspersky:UDS:DangerousObject.Multi.Generic

03.js
Huorong:√
Malwarebytes:√
Kaspersky:√

04.exe
Huorong:HEUR:VirTool/Obfuscator.gen!C
Malwarebytes:√
Kaspersky:Trojan-Ransom.Win32.Locky.dkl

05.exe
Huorong:√
Malwarebytes:Trojan.MalPack
Kaspersky:√

06.js
Huorong:√
Malwarebytes:√
Kaspersky:√

07.js
Huorong:√
Malwarebytes:√
Kaspersky:HEUR:Trojan-Downloader.Script.Generic

08.exe
Huorong:√
Malwarebytes:Trojan.Agent
Kaspersky:Trojan-Ransom.Win32.Blocker.dlky

09.exe
Huorong:√
Malwarebytes:√
Kaspersky:√

10.exe
Huorong:Backdoor/Bladabindi.n
Malwarebytes:Backdoor.Bladabindi.MSIL
Kaspersky:HEUR:Trojan.Win32.Generic

统计：Huorong 3/10 Malwarebytes 3/10 Kaspersky 5/10[/mw_shl_code]

圈好基友：@fireherman @jasonliul

显示全部楼层 · 发表于 2016-12-14 21:59:45

360杀毒扫描日志

病毒库版本：
扫描时间：2016-12-14 21:59:06
扫描用时：00:00:02
扫描类型：右键扫描
扫描文件总数：11
项目总数：5
清除项目数：5

扫描选项
----------------------
扫描所有文件：是
扫描压缩包：是
发现病毒处理方式：由用户选择处理
扫描磁盘引导区：是
扫描 Rootkit：是
使用云查杀引擎：是
使用QVM人工智能引擎：是
扫描建议修复项：是
常规引擎设置：未使用

扫描内容
----------------------
F:\浏览器下载\16.12.14

白名单设置
----------------------

扫描结果
======================
高危风险项
----------------------
F:\浏览器下载\16.12.14\03.vir virus.js.qexvmc.1075 已删除
F:\浏览器下载\16.12.14\06.vir js.url.downloader.w2 已删除
F:\浏览器下载\16.12.14\08.vir 感染型病毒(Win32/Trojan.Multi.daf) 已删除
F:\浏览器下载\16.12.14\10.vir HEUR/QVM03.0.CE63.Malware.Gen 已删除
F:\浏览器下载\16.12.14\05.vir HEUR/QVM20.1.D229.Malware.Gen 已删除

显示全部楼层 · 发表于 2016-12-14 22:06:34

ESET kil 9x [v14604]

剩下 9.vir 自动上报

[mw_shl_code=css,true]2016/12/14 22:05:05 文件系统实时防护文件 Z:\TEMP\16.12.14\10.vir MSIL/Bladabindi.AH 蠕虫的变种通过删除清除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe (7B2B7BD690776565686AAD9757F184B43F0673AC). BA0EDB0BB0E3E1E3BBB078407CB77AD4FDC6B5D6 2016/12/14 22:05:05
2016/12/14 22:05:05 文件系统实时防护文件 Z:\TEMP\16.12.14\08.vir MSIL/Injector.CNR 特洛伊木马的变种通过删除清除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe (7B2B7BD690776565686AAD9757F184B43F0673AC). 94B60DB4E272CA420FFCFF22788BFBAB9246B7C3 2016/12/14 22:05:04
2016/12/14 22:05:04 文件系统实时防护文件 Z:\TEMP\16.12.14\07.vir JS/TrojanDownloader.Nemucod.BUV 特洛伊木马通过删除清除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe (7B2B7BD690776565686AAD9757F184B43F0673AC). 2606870EFF0FCBF4E8FE0684D7ED2831DD93FC72 2016/12/14 22:05:04
2016/12/14 22:05:04 文件系统实时防护文件 Z:\TEMP\16.12.14\06.vir VBS/Obfuscated.G 特洛伊木马通过删除清除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe (7B2B7BD690776565686AAD9757F184B43F0673AC). 5703F68140FB8FF7F01AB6A0FBD2679CE8205241 2016/12/14 22:05:03
2016/12/14 22:05:03 文件系统实时防护文件 Z:\TEMP\16.12.14\05.vir Win32/Kryptik.FLNM 特洛伊木马的变种通过删除清除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe (7B2B7BD690776565686AAD9757F184B43F0673AC). AE4996BFEFDD34DF134F5E434F84F4900887C3F5 2016/12/14 22:05:03
2016/12/14 22:05:02 文件系统实时防护文件 Z:\TEMP\16.12.14\04.vir Win32/Filecoder.Locky.C 特洛伊木马通过删除清除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe (7B2B7BD690776565686AAD9757F184B43F0673AC). 62DB9E1293C8FAFF1F84F73AE050EE2CC7A8E899 2016/12/14 22:05:02
2016/12/14 22:05:02 文件系统实时防护文件 Z:\TEMP\16.12.14\03.vir JS/TrojanDownloader.Nemucod.BUT 特洛伊木马通过删除清除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe (7B2B7BD690776565686AAD9757F184B43F0673AC). BAED5622DC43E2E3F545782810545539499A7D1F 2016/12/14 22:05:01
2016/12/14 22:05:01 文件系统实时防护文件 Z:\TEMP\16.12.14\02.vir Win32/Kryptik.FLNO 特洛伊木马的变种通过删除清除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe (7B2B7BD690776565686AAD9757F184B43F0673AC). 0B8CA5BF6623E5F495F25B4242739653F9D1300C 2016/12/14 22:05:01
2016/12/14 22:05:01 文件系统实时防护文件 Z:\TEMP\16.12.14\01.vir JS/TrojanDownloader.Nemucod.BUW 特洛伊木马通过删除清除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe (7B2B7BD690776565686AAD9757F184B43F0673AC). 10D400600B4848CA24258C23CA6BFF8751AF0B3F 2016/12/14 22:05:00[/mw_shl_code]

显示全部楼层 · 发表于 2016-12-14 22:07:38

fireherman 发表于 2016-12-14 22:06
ESET kil 9x [v14604]

剩下 9.vir 自动上报

ESET今天那么猛？卡巴5x。。。

显示全部楼层 · 发表于 2016-12-14 22:13:25

本帖最后由 fireherman 于 2016-12-14 22:17 编辑

神龟Turmi 发表于 2016-12-14 22:07
ESET今天那么猛？卡巴5x。。。

其实有作弊的嫌疑

（虽然不算真正意义上的作弊）

[v14602]时，扫描是4x

我觉得太少，于是更新病毒库，居然有300多KB，升级到[v14604]，马上kill 9x，而且当时我没上报。

所以……怎么说呢……也不算作弊，就是有点取巧。

显示全部楼层 · 发表于 2016-12-14 22:15:06

据说9号BD没入库，谁来测测ATC？

显示全部楼层 · 发表于 2016-12-14 22:16:03

Avira 7x
[mw_shl_code=css,true]C:\Users\Ivan\Downloads\16.12.14\01.vir
  [DETECTION] Contains recognition pattern of the JS/Dldr.Locky.75023 Java script virus
C:\Users\Ivan\Downloads\16.12.14\02.vir
  [DETECTION] Is the TR/Crypt.Xpack.qkabr Trojan
C:\Users\Ivan\Downloads\16.12.14\04.vir
  [DETECTION] Is the TR/Azden.woozu Trojan
C:\Users\Ivan\Downloads\16.12.14\05.vir
  [DETECTION] Is the TR/Crypt.Xpack.xedmf Trojan
C:\Users\Ivan\Downloads\16.12.14\08.vir
  [DETECTION] Is the TR/Dropper.MSIL.24538 Trojan
C:\Users\Ivan\Downloads\16.12.14\09.vir
  [DETECTION] Is the TR/Injector.ogljj Trojan
C:\Users\Ivan\Downloads\16.12.14\10.vir
  [DETECTION] Is the TR/Spy.zneuz Trojan[/mw_shl_code]

显示全部楼层 · 发表于 2016-12-14 22:17:29

fireherman 发表于 2016-12-14 22:13
其实有作弊的嫌疑（虽然不算真正意义上的作弊）

[v14602]时，扫描是4x

看来。。。入库速度还是可以的

显示全部楼层 · 发表于 2016-12-14 22:21:26

神龟Turmi 发表于 2016-12-14 22:17
看来。。。入库速度还是可以的

应该是已经有（外国）人上报，所以你发帖时其实已经入库（更新就能杀）。

ESET的入库速度不慢，就是更新频率一般（4小时一次），和cerber勒索持平。

BD好像是2小时一次，不过最疯狂的还是小红伞，直接云入库……快得像光速机。

显示全部楼层 · 发表于 2016-12-14 22:22:42

fireherman 发表于 2016-12-14 22:21
应该是已经有（外国）人上报，所以你发帖时其实已经入库（更新就能杀）。

ESET的入库速度不慢，就 ...

Malwarebytes现在基本一小时一次更新检测率还是蛋疼。。。
有歪果仁上报的确应该是这样的毕竟都是外站翻来的样本

[病毒样本] #神龟测试包#2016.12.14 10x

浏览过的版块