【缉毒卫队测试包】第13期 20170216

显示全部楼层 · 发表于 2017-2-16 02:41:10

vm001 发表于 2017-2-16 02:27
嗯测试环境是全程被过的
如果实际环境可以拦截（比如外边进来的文件通过了下载保护）

实际上10号样本行为已经属于非常张扬了

显示全部楼层 · 发表于 2017-2-16 02:43:11

GreenCodes 发表于 2017-2-16 02:41
实际上10号样本行为已经属于非常张扬了

其实不张扬，释放衍生物运行，然后删除文件。。这个2个动作都不是病毒特有的，就是连起来也不是病毒特有的行为。。

显示全部楼层 · 发表于 2017-2-16 02:45:37

Dolby123 发表于 2017-2-16 02:13
avast all kill (5X 扫描 + 5X双击）

5個網址下載偽PNG檔

显示全部楼层 · 发表于 2017-2-16 02:51:24

Agu 发表于 2017-2-16 02:45
5個網址下載偽PNG檔

是勒索，加密后缀 .osiris

显示全部楼层 · 发表于 2017-2-16 02:54:24

vm001 发表于 2017-2-16 02:43
其实不张扬，释放衍生物运行，然后删除文件。。这个2个动作都不是病毒特有的，就是连起来也不是病毒特有 ...

然而还加启动项，如果不是一般正规来源，还是别用了

显示全部楼层 · 发表于 2017-2-16 03:11:27

本帖最后由小飞侠.net 于 2017-2-16 08:57 编辑

ESET Smart Security 64位（高级启发式+启发式+DNA+智能签名）++（Win 10 一周年纪念版1607....）：

病毒库: 14943P (20170215)
快速响应模块: 9529 (20170215)
更新模块: 1069 (20161122)
病毒和间谍软件扫描程序模块: 1511 (20170213)
高级启发式扫描模块: 1176 (20170116)
压缩文件支持模块: 1260 (20170213)
清除器模块: 1130 (20161219)
反隐藏支持模块: 1107 (20170124)
个人防火墙模块: 1349.1 (20170202)
ESET SysInspector 模块: 1266 (20161222)
文件系统实时防护模块: 1014 (20160223)
翻译支持模块: 1583 (20170209)
HIPS 支持模块: 1266 (20170213)
Internet 防护模块: 1293 (20170206)
Web 内容过滤器模块: 1052 (20160620)
高级反垃圾邮件模块: 5092P (20170215)
数据库模块: 1088 (20170105)
配置模块 (33): 1466.9 (20170131)
LiveGrid 通信模块: 1022 (20160401)
专用清理器模块: 1012 (20160405)
银行和付款保护模块: 1097 (20170203)
Rootkit 删除和清除模块: 1008 (20161118)
网络防护模块: 1364P (20170207)
家庭网络防护模块: 1008 (20170207)
日志
正在扫描日志
病毒库版本: 14943P (20170215)
日期: 2017/2/16 时间: 8:52:20
已扫描的磁盘、文件夹和文件: C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z
[mw_shl_code=javascript,true]C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-07.VBA.Generic.doc% - Win32/Agent.SEQ 特洛伊木马 - 扫描完成后再选择处理方式
C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-01.Backdoor.Spam.exe% - Win32/Tofsee.AZ 特洛伊木马的变种 - 扫描完成后再选择处理方式
C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-02.Backdoor.Bladabindi.exe% > WINRARSFX > 2w1d.dll - Win32/Injector.DLGV 特洛伊木马的变种 - 扫描完成后再选择处理方式
C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-05.PUP.Adware.exe% > NSIS > Script.nsi - NSIS/TrojanDownloader.Adload.CG 特洛伊木马 - 扫描完成后再选择处理方式
C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-06.Ransom.Spora.exe% - Win32/Kryptik.FOJY 特洛伊木马的变种 - 扫描完成后再选择处理方式
C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-09.Ransom.Locky.exe% - Win32/Injector.DLHV 特洛伊木马的变种 - 扫描完成后再选择处理方式
C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-10.Ransom.Philadelphia.exe% - Win32/AutoRun.Autoit.II 蠕虫 - 扫描完成后再选择处理方式
C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-03.Ransom&Script.Hyteod.js% - JS/TrojanDownloader.Nemucod.CGA 特洛伊木马 - 扫描完成后再选择处理方式
C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-04.Ransom&Script.Cerber.js% - JS/TrojanDownloader.Nemucod.CGI 特洛伊木马 - 扫描完成后再选择处理方式
C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-08.Ransom&Script.Cerber.js% - 正常
C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-07.VBA.Generic.doc% - Win32/Agent.SEQ 特洛伊木马 - 已删除
C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-01.Backdoor.Spam.exe% - Win32/Tofsee.AZ 特洛伊木马的变种 - 已删除
C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-02.Backdoor.Bladabindi.exe% > WINRARSFX > 2w1d.dll - Win32/Injector.DLGV 特洛伊木马的变种 - 已删除
C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-05.PUP.Adware.exe% > NSIS > Script.nsi - NSIS/TrojanDownloader.Adload.CG 特洛伊木马 - 已删除
C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-06.Ransom.Spora.exe% - Win32/Kryptik.FOJY 特洛伊木马的变种 - 已删除
C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-09.Ransom.Locky.exe% - Win32/Injector.DLHV 特洛伊木马的变种 - 已删除
C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-10.Ransom.Philadelphia.exe% - Win32/AutoRun.Autoit.II 蠕虫 - 已删除
C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-03.Ransom&Script.Hyteod.js% - JS/TrojanDownloader.Nemucod.CGA 特洛伊木马 - 已删除
C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-04.Ransom&Script.Cerber.js% - JS/TrojanDownloader.Nemucod.CGI 特洛伊木马 - 已删除
C:\Users\Admin\Desktop\卡巴斯基\缉毒卫队测试包第13期 20170216.7z > 7ZIP > 2017.2.16/2017.2.16-08.Ransom&Script.Cerber.js% - 正常[/mw_shl_code]
已扫描的对象数: 24
发现的威胁数: 9
已清除

对象数: 9
完成时间: 8:52:29 总扫描时间: 9 秒 (00:00:09)

360杀毒扫描日志

病毒库版本：2017-02-15 16:04
扫描时间：2017-02-16 08:38:01
扫描用时：00:00:26
扫描类型：右键扫描
扫描文件总数：10
项目

总数：3
清除项目数：0

扫描选项
----------------------
扫描所有文件：是
扫描压缩包：是
发现病毒处理方式：由用户选择处理
扫描磁盘引导区：是
扫描 Rootkit：是
使用云查杀引擎：是
使用QVM人工智能引擎：是
扫描建议修复项：是
常规引擎设置：Avira(小红伞)

扫描内容
----------------------
文件名称: C:\Users\xfxnet2000\Desktop\MX Player Pro\刘嘉欣\7346797\958202\952802\王馨妍\Windows Defender\AVTestZipX\2017.2.16.zip
文件大小: 1.20 MB (1,262,520 字节)
修改时间: 2017年02月16日，08:37:32
MD5: 2c05b99c1fb3a27f768812908c5f6960
SHA1: a8ff916bc23a23c15fafc19d1995f830e6731d19
SHA256: 9b48346dcbadbc9ad85eaabfc9eb90639570cfc800244dedf35aa783da4a88d9
CRC32: ee732769
计算时间: 0.03s

扫描结果
======================
高危风险项
----------------------
[mw_shl_code=javascript,true]C:\Users\xfxnet2000\Desktop\MX Player Pro\刘嘉欣\7346797\958202\952802\王馨妍\Windows Defender\AVTestZipX\2017.2.16\2017.2.16-04.Ransom&Script.Cerber.js% virus.js.qexvmc.1065 未处理
C:\Users\xfxnet2000\Desktop\MX Player Pro\刘嘉欣\7346797\958202\952802\王馨妍\Windows Defender\AVTestZipX\2017.2.16\2017.2.16-01.Backdoor.Spam.exe% 感染型病毒(Win32/Trojan.6e2) 未处理
C:\Users\xfxnet2000\Desktop\MX Player Pro\刘嘉欣\7346797\958202\952802\王馨妍\Windows Defender\AVTestZipX\2017.2.16\2017.2.16-05.PUP.Adware.exe% 感染型病毒(Win32/Trojan.97a) 未处理[/mw_shl_code]

显示全部楼层 · 发表于 2017-2-16 07:59:22

看到前面回复的10号样本，跑行为看看
[mw_shl_code=css,true]07:57:45(1)：(自动允许)程序启动：File_Analysis 行为记录成功开启

07:57:45(2)：(自动允许)获取文件属性：C:\Users\wang\AppData\Roaming

07:57:45(3)：(自动允许)读取文件：C:\Users\wang\Desktop\File_safe\2017.2.16-10.Ransom.Philadelphia.exe%    访问权限：-2147483648

07:57:45(4)：(自动允许)读取文件：C:\Users\wang\Desktop\File_safe\2017.2.16-10.Ransom.Philadelphia.exe%    访问权限：-2147483648

07:57:45(5)：(自动允许)获取文件属性：C:\Users\wang\AppData\Local\Temp\zbyidfj

07:57:45(6)：(自动允许)查找文件：C:\Users\wang\AppData\Local\Temp\zbyidfj

07:57:45(7)：(自动允许)读取文件：C:\Users\wang\Desktop\File_safe\2017.2.16-10.Ransom.Philadelphia.exe%    访问权限：-2147483648

07:57:45(8)：(自动允许)获取文件属性：C:\Users\wang\AppData\Local\Temp\zbyidfj

07:57:45(9)：(自动允许)查找文件：C:\Users\wang\AppData\Local\Temp\zbyidfj

07:57:45(10)：(自动允许)写入文件：C:\Users\wang\AppData\Local\Temp\aut9684.tmp

07:57:45(11)：(自动允许)写入文件：C:\Users\wang\AppData\Local\Temp\aut9684.tmp

07:57:45(12)：(自动允许)写入文件：C:\Users\wang\AppData\Local\Temp\zbyidfj

07:57:45(13)：(自动允许)删除文件：C:\Users\wang\AppData\Local\Temp\aut9684.tmp

07:57:45(14)：(自动允许)写入文件：C:\Users\wang\AppData\Local\Temp\zbyidfj

07:57:45(15)：(自动允许)写入文件：C:\Users\wang\AppData\Local\Temp\zbyidfj

07:57:45(16)：(自动允许)获取文件属性：C:\Users\wang\AppData\Local\Temp\zbyidfj

07:57:45(17)：(自动允许)查找文件：C:\Users\wang\AppData\Local\Temp\zbyidfj

07:57:45(18)：(自动允许)删除文件：C:\Users\wang\AppData\Local\Temp\zbyidfj

07:57:45(19)：(自动允许)读取文件：C:\Users\wang\Desktop\File_safe\2017.2.16-10.Ransom.Philadelphia.exe%    访问权限：-2147483648

07:57:46(20)：(自动允许)获取文件属性：C:\Users\wang\AppData\Local\Temp\delphi.au3.509

07:57:46(21)：(自动允许)查找文件：C:\Users\wang\AppData\Local\Temp\delphi.au3.509

07:57:46(22)：(自动允许)写入文件：C:\Users\wang\AppData\Local\Temp\aut96B4.tmp

07:57:46(23)：(自动允许)写入文件：C:\Users\wang\AppData\Local\Temp\aut96B4.tmp

07:57:46(24)：(自动允许)写入文件：C:\Users\wang\AppData\Local\Temp\delphi.au3.509

07:57:46(25)：(自动允许)删除文件：C:\Users\wang\AppData\Local\Temp\aut96B4.tmp

07:57:46(26)：(自动允许)写入文件：C:\Users\wang\AppData\Local\Temp\delphi.au3.509

07:57:46(27)：(自动允许)读取文件：C:\Windows\system32\rsaenh.dll    访问权限：-2147483648

07:57:46(28)：(自动允许)读取文件：C:\Users\wang\Desktop\File_safe\2017.2.16-10.Ransom.Philadelphia.exe%    访问权限：-2147483648

07:57:46(29)：(自动允许)获取文件属性：C:\Users\wang\AppData\Local\Temp\delph1.bin

07:57:46(30)：(自动允许)查找文件：C:\Users\wang\AppData\Local\Temp\delph1.bin

07:57:46(31)：(自动允许)写入文件：C:\Users\wang\AppData\Local\Temp\aut96F3.tmp

07:57:46(32)：(自动允许)复制文件：C:\Users\wang\AppData\Local\Temp\aut96F3.tmp    复制至：C:\Users\wang\AppData\Local\Temp\delph1.bin

07:57:46(33)：(自动允许)删除文件：C:\Users\wang\AppData\Local\Temp\aut96F3.tmp

07:57:46(34)：(自动允许)写入文件：C:\Users\wang\AppData\Local\Temp\delph1.bin

07:57:46(35)：(自动允许)读取文件：C:\Users\wang\Desktop\File_safe\2017.2.16-10.Ransom.Philadelphia.exe%    访问权限：-2147483648

07:57:46(36)：(自动允许)获取文件属性：C:\Users\wang\AppData\Local\Temp\pd4ta.bin

07:57:46(37)：(自动允许)查找文件：C:\Users\wang\AppData\Local\Temp\pd4ta.bin

07:57:46(38)：(自动允许)写入文件：C:\Users\wang\AppData\Local\Temp\aut9732.tmp

07:57:46(39)：(自动允许)复制文件：C:\Users\wang\AppData\Local\Temp\aut9732.tmp    复制至：C:\Users\wang\AppData\Local\Temp\pd4ta.bin

07:57:46(40)：(自动允许)删除文件：C:\Users\wang\AppData\Local\Temp\aut9732.tmp

07:57:46(41)：(自动允许)写入文件：C:\Users\wang\AppData\Local\Temp\pd4ta.bin

07:57:46(42)：(自动允许)获取文件属性：C:\Users\wang\AppData\Local\Temp\pd4ta.dat

07:57:46(43)：(自动允许)查找文件：C:\Users\wang\AppData\Local\Temp\pd4ta.dat

07:57:46(44)：(自动允许)查找文件：C:\Users\wang\AppData\Local\Temp\pd4ta.bin

07:57:46(45)：(自动允许)写入文件：C:\Users\wang\AppData\Local\Temp\pd4ta.bin

07:57:46(46)：(自动允许)获取文件属性：C:\Users\wang\AppData\Local\Temp\

07:57:46(47)：(自动允许)写入文件：C:\Users\wang\AppData\Local\Temp\pd4ta.dat

07:57:46(48)：(自动允许)获取文件属性：C:\Users\wang\AppData\Local\Temp\delph1.dat

07:57:46(49)：(自动允许)查找文件：C:\Users\wang\AppData\Local\Temp\delph1.dat

07:57:46(50)：(自动允许)查找文件：C:\Users\wang\AppData\Local\Temp\delph1.bin

07:57:46(51)：(自动允许)写入文件：C:\Users\wang\AppData\Local\Temp\delph1.bin

07:57:46(52)：(自动允许)获取文件属性：C:\Users\wang\AppData\Local\Temp\

07:57:46(53)：(自动允许)写入文件：C:\Users\wang\AppData\Local\Temp\delph1.dat

07:57:46(54)：(自动允许)获取文件属性：2017.2.16-10.Ransom.Philadelphia.exe%

07:57:46(55)：(安全环境)查找文件：2017.2.16-10.Ransom.Philadelphia.exe%

07:57:46(56)：(自动允许)获取文件属性：2017.2.16-10.Ransom.Philadelphia.exe%

07:57:46(57)：(自动允许)设置文件属性：2017.2.16-10.Ransom.Philadelphia.exe%

07:57:46(58)：(阻止)创建进程：C:\Users\wang\Desktop\File_safe\2017.2.16-10.Ransom.Philadelphia.exe% /AutoIt3ExecuteScript "C:\Users\wang\AppData\Local\Temp\delph1.dat"

07:57:46(59)：(自动允许)程序退出：File_Analysis 行为记录到此为止[/mw_shl_code]

显示全部楼层 · 发表于 2017-2-16 08:54:21

百度杀毒扫描日志

扫描信息
扫描开始时间:2017-2-16 08:53:07
扫描用时:00:00:41
扫描类型:自定义查杀
扫描状态:查杀完成

扫描结果
扫描文件数:10
发现风险数:1
已处理风险数:0

风险情况详情:

病毒木马名:Win32.Trojan.Tofsee.a.bav 路径:D:\我的文档\Desktop\2017.2.16\2017.2.16-01.Backdoor.Spam.exe% 病毒木马类型:恶意木马未处理

显示全部楼层 · 发表于 2017-2-16 08:56:07

显示全部楼层 · 发表于 2017-2-16 09:08:19

MSE 断网
2017.2.16-01.Backdoor.Spam.exe%
Infected: Backdoor:Win32/Tofsee.F
2017.2.16-08.Ransom&Script.Cerber.js%
Infected: TrojanDownloader:JS/Nemucod

[病毒样本] 【缉毒卫队测试包】第13期 20170216

本帖子中包含更多资源

本帖子中包含更多资源