查看: 6787|回复: 23
收起左侧

[求助] 谁用GD,跟官方反馈一下这个样本吧

[复制链接]
墨家小子
发表于 2017-7-7 15:04:47 | 显示全部楼层 |阅读模式
本帖最后由 墨家小子 于 2017-7-7 15:31 编辑

http://bbs.kafan.cn/thread-2095598-1-1.html
带进来的bc00000066.exe,GD主防防御不了加密

还有这个js样本,运行之后一个是加密,一个是利用regsvr32搞事情
https://www.hybrid-analysis.com/ ... d?environmentId=100
欧阳宣
头像被屏蔽
发表于 2017-7-7 16:06:08 | 显示全部楼层
zh7000047
发表于 2017-7-7 20:30:02 | 显示全部楼层
下载不下来,直接拦截了
,就一个.
发表于 2017-7-7 22:18:18 | 显示全部楼层
本帖最后由 ,就一个. 于 2017-7-7 22:42 编辑

js脚本下载不了啊 要么你就直接把样本贴出来 方便大家现在 弄些网站又是英文 打开也很慢 怎么下载都不知道
,就一个.
发表于 2017-7-7 22:51:34 | 显示全部楼层
本帖最后由 ,就一个. 于 2017-7-8 02:55 编辑

一两个样本不能说明什么 能杀就行了
,就一个.
发表于 2017-7-8 00:49:10 | 显示全部楼层
本帖最后由 ,就一个. 于 2017-7-8 02:54 编辑

反馈什么啊 你又不用GD
墨家小子
 楼主| 发表于 2017-7-8 12:38:04 | 显示全部楼层
,就一个. 发表于 2017-7-8 00:49
反馈什么啊 你又不用GD

说话别这么绝对 我诺顿 ESET GD都是三年key好吗
你的这种说法绝壁是有问题的,新品种出来那个不是过BD系,如果GD主防被过,意味着什么你应该清楚
墨家小子
 楼主| 发表于 2017-7-8 12:39:07 | 显示全部楼层
zh7000047 发表于 2017-7-7 20:30
下载不下来,直接拦截了

关闭实时监控,把样本下载回来,进入虚拟机双击JS,看看GD主防能不能拦截到
,就一个.
发表于 2017-7-8 15:08:12 | 显示全部楼层
墨家小子 发表于 2017-7-8 12:39
关闭实时监控,把样本下载回来,进入虚拟机双击JS,看看GD主防能不能拦截到

好的 好的 我试试看
,就一个.
发表于 2017-7-8 15:17:46 | 显示全部楼层
墨家小子 发表于 2017-7-8 12:39
关闭实时监控,把样本下载回来,进入虚拟机双击JS,看看GD主防能不能拦截到

JS脚本我终于下载到了  我双击以后 过了大概10秒钟

出现

然后又过了10秒钟这个东西关闭了出现

随后GD主防弹出对话框 要求重启清除

这是日志
AVA 25.13275
GD 25.9951

*** Process ***

Process: 8356
File name: WScript.exe
Path: c:\windows\system32\wscript.exe

Publisher: Microsoft Windows
Creation date: 2016年7月16日 19:42:37
Modification date: 2016年7月16日 19:42:37

Started by: Explorer.EXE
Publisher: Microsoft Windows


*** Actions ***

The program establishes a network connection.
The program was modified in memory.
The program has created or manipulated an executable file.
The program has read data from its own program file.


*** Quarantine ***

The following files were moved into quarantine:
C:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCache\IE\01HY20VK\counter[1].htm
C:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCache\IE\01HY20VK\counter[1].js
C:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCache\IE\B8ZLJ2XM\8422[1].png
C:\Users\Administrator\AppData\Local\Temp\1CsnkH4ym42iWxo65QoRtFDC4aPD93QU7e.doc
C:\Users\Administrator\AppData\Local\Temp\1CsnkH4ym42iWxo65QoRtFDC4aPD93QU7e2.exe
C:\Users\Administrator\AppData\Local\Temp\klog\log_wpscloudsvr
C:\Users\Administrator\AppData\Local\Temp\~$snkH4ym42iWxo65QoRtFDC4aPD93QU7e.doc
C:\Users\Administrator\AppData\Roaming\kingsoft\office6\UserFeature\UserFeatureTags.ini
C:\Users\Administrator\AppData\Roaming\kingsoft\office6\backup\wps_7316.bk
C:\Users\Administrator\AppData\Roaming\kingsoft\office6\cache\e61019c722bcc2915a903546af9117841935175e.keys
C:\Users\Administrator\AppData\Roaming\kingsoft\office6\cache\e61019c722bcc2915a903546af9117841935175e.values
C:\Users\Administrator\AppData\Roaming\kingsoft\office6\templates\wps\zh_CN\Normal.dotm
C:\Users\Administrator\AppData\Roaming\kingsoft\office6\templates\wps\zh_CN\~$Normal.dotm
C:\Users\Administrator\AppData\Roaming\kingsoft\office6\update\log\wpsnotify_2017_07_08.log
C:\Users\Administrator\AppData\Roaming\kingsoft\office6\update\log\wpsupdate_2017_07_08.log
C:\Users\Administrator\AppData\Roaming\kingsoft\wps\addons\data\win-i386\docersoso_update_rep_1.0.0.0.ini
C:\Users\Administrator\AppData\Roaming\kingsoft\wps\addons\list\win-i386\10.1.0.6638\wps\plugin.plg
C:\Users\Administrator\AppData\Roaming\kingsoft\wps\addons\pool\win-i386\docerrecommend_1.0.0.1\__attr.plg
C:\Users\Administrator\AppData\Roaming\kingsoft\wps\addons\pool\win-i386\docerrecommend_1.0.0.1\download.7z
C:\Users\Administrator\AppData\Roaming\kingsoft\wps\addons\pool\win-i386\kadverttipctrl_1.0.0.29\download.7z
C:\Users\Administrator\AppData\Roaming\kingsoft\wps\addons\pool\win-i386\kfeedback_1.0.0.19\download.7z
C:\Users\Administrator\AppData\Roaming\kingsoft\wps\addons\pool\win-i386\konlinepicture_1.0.0.15\download.7z
C:\Users\Administrator\AppData\Roaming\kingsoft\wps\addons\pool\win-i386\kpropaganda_1.0.0.0\download.7z
C:\Users\Administrator\AppData\Roaming\kingsoft\wps\addons\pool\win-i386\ktranslation_1.0.0.37\download.7z
C:\Users\Administrator\AppData\Roaming\kingsoft\wps\addons\pool\win-i386\kweibo_1.0.0.2\download.7z
C:\Users\Administrator\AppData\Roaming\kingsoft\wps\addons\pool\win-i386\kwpsartstyleborder_1.0.0.7\download.7z
C:\Windows\Temp\avkhttp_151402750_0619a881.tmp
C:\Windows\Temp\avkhttp_151403360_0619a2f1.tmp
c:\users\administrator\appdata\roaming\kingsoft\office6\backup\wps.bkl

The following registry entries were deleted:


YGLRyZIJLCcpJycnCC0nvysnKye/Bi4n+HKScoIMp0InKXRyQicIt3KScnJygoArJycnJyYGyHKCYmJygpArFp0sDOlyci8nJyfnoConCspycnJyYmKgLSeLcpJyog/bcnJycmJiwCknJyYmJwf8cnIoJycnd9AmJy4nKCcMjXJycnJiYuAmJwePctIoJykn/PApJycmJicH/3JycnJiYnBocnJiYnJycLhycicnKycMhy0nKScnJwinKxtXY7bicsFbY7ZysnE1ZisNty0nd3JycnIGxy8nJycnJgbXKScuJygnDOcoJw/nLicK9ygnC/cpJ68qJiYnrwr3LycpJiYnCWgpJ+iAl3KygOtycnJyYmKA+3JyLScoJ7eAjHJycnJiYoC+cqIpJyknaoCPcoIAAA
Rules version: 5.0.147
OS: Windows 10.0 Service Pack 0.0 Build: 14393 - Workstation 64bit OS
dll version: 68091

"C:\windows\System32\WScript.exe" "C:\Users\Administrator\Desktop\9106926.doc.js"
MD5: AF5C4AA89DF62F369E529A9587E2BE1F
C:\windows\Explorer.EXE
MD5: 05181A5AC4197D6C5C02ACE6070AF234

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 20:43 , Processed in 0.118400 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表