【12.03】#VirusPackage 7x

显示全部楼层 · 发表于 2017-12-3 22:52:18

aboringman 发表于 2017-12-3 22:48
后期UDS为什么有了常规特征库的报法，难道云端部署了机器学习？

We dont know
KL never tell you that

显示全部楼层 · 发表于 2017-12-3 22:56:40

显示全部楼层 · 发表于 2017-12-4 01:28:51

本帖最后由小飞侠.net 于 2017-12-4 20:13 编辑

X-Sec Antivirus ---（Windows 10 Creators Update（Redstone 2）....）：

Start Time: Mon Dec  4 01:56:35 2017
Scan Type: Custom Scan
Scan Target: C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9
Heuristic Engine: Enabled
Cloud Engine: Enabled
Resolve Threats: Scan only
Database Version: 2017.12.03.01
C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9\Virus7x 1203\(1).exe -> Cloud:Trojan.Win32.Generic
C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9\Virus7x 1203\(2).exe -> Cloud:Trojan.Win32.Injector
C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9\Virus7x 1203\(3).exe -> Backdoor.Win32.Agent.AG!GEN
C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9\Virus7x 1203\(5).exe -> Cloud:Trojan.Win32.Kryptic
C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9\Virus7x 1203\(6).exe -> Cloud:Trojan.Win32.Generic
C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9\Virus7x 1203\(7).exe -> Cloud:Trojan.Win32.Generic
Elapsed Time: 00:00:18
Total File: 7
Skipped File: 0
Infected File: 6

瑞星---（Windows 10 Creators Update（Redstone 2）....）：云引擎（开）RDM+引擎（开）
            瑞星反恶软引擎命令行扫描器（社区交流版）

编译于：Sep 22 2017 15:07:50

提示：
  - 本工具供社区交流使用，请勿用于其他用途
  - 本工具没有恶意软件删除、清除、隔离功能
  - 本工具包含开发中的新特性，结果仅供参考

* 命令行中的选项开关：-output-json -log=C:\瑞星RDM+引擎\ScanLog_171204014908.log
* 获取恶软签名库最新版本 ...
* 下载恶软签名库配置文件 ...
* 创建恶软签名库升级组件 ...
* 计算并下载增量文件 ...
* 升级恶软签名库 ...
* 恶软签名库升级成功
* 扫描目标 : (1) C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9

* 加载恶软签名库： C:\瑞星RDM+引擎/malware.rmd
* 恶软签名库加载成功，发布序号为 3276
* 读取恶软签名库配置 ...
* 云辅助扫描组件初始化失败.
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
扫描开始: Mon Dec 04 01:49:22 2017

{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus7x 1203ToDEB43FA9\\Virus7x 1203\\(7).exe","infect":{"engine":"rdmk","signature":"cmRtazpqTNuhX+IwcR1zWvg1F2BU","threat":"Malware.Heuristic!ET#99%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus7x 1203ToDEB43FA9\\Virus7x 1203\\(1).exe","infect":{"engine":"tfe","signature":"dGZlOgQFgC1tpZnkOw","threat":"Trojan.Lebag!8.2F93"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus7x 1203ToDEB43FA9\\Virus7x 1203\\(5).exe","infect":{"engine":"rdmk","signature":"cmRtazpbPF5BkCIeSVTJJ8//SllJ","threat":"Malware.Heuristic!ET#93%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus7x 1203ToDEB43FA9\\Virus7x 1203\\(4).exe","type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus7x 1203ToDEB43FA9\\Virus7x 1203\\(3).exe","infect":{"engine":"sha1","signature":"c2hhMTo4z0/KNuws+FdhroWP81kPw9gezw","threat":"Spyware.Agent!8.C6"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus7x 1203ToDEB43FA9\\Virus7x 1203\\(2).exe","infect":{"engine":"rdmk","signature":"cmRtazpLmWxvZvw8anCcd93er8ix","threat":"Malware.Heuristic!ET#97%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus7x 1203ToDEB43FA9\\Virus7x 1203\\(6).exe","infect":{"engine":"c64","signature":"YzY0Osfzz4LVdIMy","threat":"Malware.Undefined!8.C"},"type":"scan"}

扫描结束: Mon Dec 04 01:49:22 2017

总扫描耗时: 0:0:436(m:s:ms)
总扫描对象: 7
总扫描文件: 7
总恶意文件: 6
有效检出率: 85.71%

Emsisoft Emergency Kit - 版本 2017.11
上次更新： 2017/12/4 1:06:21
用户帐号： TECLAST\Admin
电脑名称： TECLAST
操作系统版本： Windows 10x64

Emsisoft Emergency Kit 绿色免费版
(已开启)加入 Emsisoft 云、更新源：测试版
Bitdefender+Emsisoft 双引擎
扫描设置：

扫描方式：自定义扫描
对象： Rootkits, 内存, C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9\

检测流氓软件(PUPs)： On
扫描压缩包： On
扫描邮件存档： On
ADS数据流： On
文件扩展名过滤： Off
直接磁盘访问： Off

扫描开始于：       2017/12/4 1:45:30
C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9\Virus7x 1203\(1).exe       发现风险： Trojan.GenericKD.6273967 (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9\Virus7x 1203\(5).exe       发现风险： Trojan.GenericKD.12647701 (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9\Virus7x 1203\(6).exe       发现风险： Trojan.GenericKD.12646111 (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9\Virus7x 1203\(7).exe       发现风险： Gen:Variant.Razy.138818 (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9\Virus7x 1203\(2).exe       发现风险： Trojan.RansomKD.12649931 (B) [krnl.xmd]

已扫描       1737
发现       5

扫描完成后：       2017/12/4 1:45:47
扫描时间：       0:00:17

ESET Smart Security Premium 64位（高级启发式（Y）+压缩文件（Y）+自解压加壳（Y）+DNA智能签名（Y）++（Windows 10 Creators Update（Redstone 2）....）：Found nothing

日志
正在扫描日志
检测引擎的版本: 16512P (20171203)
日期: 2017/12/4  时间: 1:37:55
已扫描的磁盘、文件夹和文件: C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9
C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9\Virus7x 1203\(1).exe - Win32/GenKryptik.BGVJ 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9\Virus7x 1203\(2).exe > NSIS > Script.nsi - NSIS/Injector.XK 特洛伊木马 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9\Virus7x 1203\(3).exe - MSIL/Spy.Agent.BGU 特洛伊木马 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9\Virus7x 1203\(5).exe - Win32/GenKryptik.BHBV 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\Virus7x 1203ToDEB43FA9\Virus7x 1203\(6).exe - Generik.MEBQJWB 特洛伊木马的变种 - 通过删除清除 [1]
已扫描的对象数: 22
发现的威胁数: 5
已清除对象数: 5
完成时间: 1:38:02  总扫描时间: 7 秒 (00:00:07)
----6个月前的？真的老了7.exe
备注:
[1] 由于对象中仅包含病毒主体，因此已被删除。

火绒安全---（ Windows 7 Ultimate with SP1 简体中文旗舰版....）：部分未知文件已发送到seclab@huorong.cn，等处理中。。。

病毒库：2017/12/01 16:07
开始时间：2017/12/04 01:24
总计用时：00:00:05
扫描对象：29个
扫描文件：7个
发现风险：1个
已处理风险：0个
发现系统修复项：0个
处理系统修复项：0个

病毒详情

风险路径：C:\Users\xfxnet2000\Desktop\MX Player Pro\刘1\艾2\61647309\85014225\孙3\Windows Defender\AVTestZipX\Virus7x 1203\(1).exe, 病毒名：HVM:Trojan/MalBehav.gen!A, 病毒ID：[904aca8998e5ee8d], 处理结果：已忽略

文件名称: C:\Users\xfxnet2000\Desktop\MX Player Pro\刘1\艾2\61647309\85014225\孙3\Windows Defender\AVTestZipX\Virus7x 1203.rar
文件大小: 3.80 MB (3,986,819 字节)
修改时间: 2017年12月04日，01:23:07
MD5: 5F4264ED9C208D9034E0F571F7092536
SHA1: 2CC93BFC19EABF59CD8821635E05D78E30A8E6ED
SHA256: 977D811ABDC202FD3038A10464C387605D1160DBEC339EBCB4E2FF05949AF96C
SHA512: 8E6748A91F9A081AEF08A9692E5821840470D1F9591C631A9322F21403B387897816D7B4784BFDFB32FA53E3BF478E1C723E4F636E54DBDA44F5FE86513FAA11
CRC32: DEB43FA9
计算时间: 0.09s

显示全部楼层 · 发表于 2017-12-4 07:36:30

毒霸Kill 2X

显示全部楼层 · 发表于 2017-12-4 08:02:59

这么多啊.

显示全部楼层 · 发表于 2017-12-4 09:43:48

奇了怪了，我昨晚怎么都没发现这个包

卡巴kill6x

红伞清空剩余

12/04/2017,09-43-13 [INFO] c:\users\kyss\desktop\virus7x 1203\virus7x 1203\(7).exe
12/04/2017,09-43-13 [INFO] [DETECTION] file contains 'TR/Strictor.yhrus'

显示全部楼层 · 发表于 2017-12-4 09:46:24

wangkaka 发表于 2017-12-3 19:18
搞波事：
eset（10月20号病毒库） kill 0个

ESET就是这点稳

显示全部楼层 · 发表于 2017-12-4 10:39:59

191196846 发表于 2017-12-3 20:33
那我也搞波事好了

https://bbs.kafan.cn/thread-2106517-1-1.html

他们的拉黑是hash拉黑么？还是虚拟机脱壳后的特征？

显示全部楼层 · 发表于 2017-12-4 10:52:58

本帖最后由 191196846 于 2017-12-4 10:54 编辑

B100D1E55 发表于 2017-12-4 10:39
他们的拉黑是hash拉黑么？还是虚拟机脱壳后的特征？

应该是通用脱壳后的特征，记得他们白皮书内有提到

没有验证过
但基本也就1:1的关系吧，因为很少看见HEUR

并没有HVM的报法

显示全部楼层 · 发表于 2017-12-4 10:57:12

191196846 发表于 2017-12-4 10:52
应该是通用脱壳后的特征，记得他们白皮书内有提到

没有验证过

这个没试过也不知道吧。ESET LiveGrid自动机特征有的是家族拉黑（当然肯定没人工的效果好），所以在想火绒这个自动拉黑算法的稳健性如何

[病毒样本] 【12.03】#VirusPackage 7x

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源