今天发样本的都回家过年了？送上五个样本

275751198

B100D1E55 发表于 2017-1-23 11:58
动作都很丰富很明显……
第一个是ispy键盘钩子特征
第二个检测wine还带注入

有图的话，我就给分哦

学雷锋做人

pal家族 发表于 2017-1-23 12:12
听说你不服

卡巴斯基：“大哥，有话好好说......，给你发个红包呗！”

linzh

fireherman 发表于 2017-1-23 12:08
有的，但一个主题帖子只能这么用一次：

这幅图好像不能说明什么啊
你编辑之后@我，我这里有提示

然后我试着在这个帖子里面编辑中加了@你的文本，这个有效么？ 这个帖子里面我只@过你一次

fireherman

linzh 发表于 2017-1-23 12:17
这幅图好像不能说明什么啊
你编辑之后@我，我这里有提示

我截错图了，应该点“提到我的”，再截图：

是有效的。

B100D1E55

275751198 发表于 2017-1-23 12:13
有图的话，我就给分哦

一个个截图太麻烦了 ，附上6cef4d*的导出：

明显反虚拟机行为（不过谁会在mi-guan装guest addition……）

Roaming下模仿winhlp32
这两条大概就可以判死刑了？

ML每个都能给出明确的归类，都是些有年头的毒了，测扫描的确意义不大

欧阳宣

avast 4x

dongwenqi

linzh 发表于 2017-1-23 11:53
ESET 4X
[mw_shl_code=css,true]时间;扫描程序;对象类型;对象;威胁;操作;用户;信息;哈希;此处首次所见
20 ...

好吧，既然卡巴斯基全部检测了，我不用上报了

aboringman

Trend Micro：

扫描：kill 3 files；

威胁名称:        TROJ_GEN.R00XC0ELP16

类型:        病毒

受感染文件:        C:\Users\abori\De…69e4a8bb93b7.bin

处理措施:        已移除

检测方式:        手动扫描

威胁名称:        TROJ_GEN.R00XC0DAA17

类型:        病毒

受感染文件:        C:\Users\abori\De…42ecd0f2cc0f64.bin

处理措施:        已移除

检测方式:        手动扫描

威胁名称:        TROJ_GEN.R03EC0FAJ17

类型:        病毒

受感染文件:        C:\Users\abori\De…b9a32e2d9b53.bin

处理措施:        已移除

检测方式:        手动扫描

双击：剩下的两只实机双击，Aegis干掉一只（顺带回滚了衍生物.exe），终止一只（终止后挂在那里，死进程），全歼。

名称:        7ccc95313e1104ebcf9052f8a7fc29d79ced4451cc179b44d61e015b61e41076.bin.exe

来自:        未知

版本:       

版权:       

检测到的资源或进程 ID:        C:\Users\abori\AppData\Local\Temp\.exe

处理措施:        已清除

威胁名称:        HEU_AEGIS291

类型:        威胁

受感染文件:        c:\users\abori\appdata\local\temp\.exe

处理措施:        已移除

检测方式:        实时扫描

威胁名称:        HEU_AEGIS291

类型:        威胁

受感染文件:        C:\Users\abori\De…b61e41076.bin.exe

处理措施:        已移除

检测方式:        实时扫描

名称:        d62375238e39f6aa3054fd2de10e9de2364ded6259c23e54c8ec9cf7bd53d386.bin.exe

来自:        http://www.ruby-lang.org/

版本:        2.3.0p0

版权:        Copyright (C) 1993-2015 Yukihiro Matsumoto

检测到的资源或进程 ID:        ZwWriteVirtualMemory

处理措施:        已终止

轩夏

MSE
0b43071b3fe7b6a00597197ff22838b1dd36d7cd209401432242ecd0f2cc0f64.bin
Infected: Trojan:Win32/Dynamer!ac
6cef4d8418c86d3b6654aeb0bc1995def54913988adaf373b437b9a32e2d9b53.bin
Infected: Trojan:Win32/Dynamer!ac
7ccc95313e1104ebcf9052f8a7fc29d79ced4451cc179b44d61e015b61e41076.bin
Infected: Trojan:Win32/Lamooc.A
a17a70ccae768bbbbfcc2ca6745c31b6c834f688da22f1f4b04069e4a8bb93b7.bin
Infected: Trojan:Win32/Dynamer!ac

Microsoftheihei

fsp扫描全杀
双击：不开信誉杀三个，开信誉全灭