搜索
查看: 966|回复: 53
收起左侧

[病毒样本] 【12.06】#VirusPackage 8x

[复制链接]
191196846
发表于 6 天前 | 显示全部楼层 |阅读模式
https://abuaaedugr-my.sharepoint ... 4ac9a95bb5653133915

Malicious URL(Real-World Test)
欢迎直接使用恶意链接进行测试,模拟从访问下载执行全过程,能够较好反应杀软在实际情况下的防御能力。

  1. http://imcbrukers.com/kater/_374865873465_38573.exe
  2. http://nymphartslp.us/uretra/432y3egv2rtjadfqh354h/9837532087.png
  3. https://comfy.moe/bvcxkf.jpg
  4. http://austria-at.com/hta/catalogs.exe
  5. http://team-bobcat.org/DBee556ff?
  6. http://undergroundis.com/images/logo.png
  7. http://93.113.131.101/ordinario.jpg
  8. http://rahosting.org/wp-content/plugins/PUTTY.EXE
复制代码


火绒KILL3(最后一个卡挺久)
  1. 病毒库:2017/12/06 15:20
  2. 开始时间:2017/12/06 21:48
  3. 总计用时:00:00:25
  4. 扫描对象:33个
  5. 扫描文件:8个
  6. 发现风险:3个
  7. 已处理风险:3个
  8. 发现系统修复项:0个
  9. 处理系统修复项:0个

  10. 病毒详情

  11. 风险路径:C:\Users\USER\Downloads\Compressed\Virus Test\Virus8x 1206\(4).exe, 病毒名:Trojan/Injector.dl, 病毒ID:[cec17aa3dea03ae5], 处理结果:已处理
  12. 风险路径:C:\Users\USER\Downloads\Compressed\Virus Test\Virus8x 1206\(7).exe, 病毒名:HVM:VirTool/Obfuscator.gen!A, 病毒ID:[b27d4294cde6a1ec], 处理结果:已处理
  13. 风险路径:C:\Users\USER\Downloads\Compressed\Virus Test\Virus8x 1206\(8).exe, 病毒名:HEUR:VirTool/Obfuscator.gen!B, 病毒ID:[2d18551aef762f90], 处理结果:已处理
复制代码


wangkaka
发表于 6 天前 | 显示全部楼层
本帖最后由 wangkaka 于 2017-12-6 22:48 编辑

eset(10月20号毒库)前来搞事

KILL:1(8号样本GenKryptik高级启发报毒)

双击:1号:失败。
2号:僵尸网络防护。
3号:僵尸网络防护,然后高级内存扫描拦截。
4号:跑不起来,可能反虚拟机。。
5号:hips的勒索软件防护功能发威,但文件已经被加密一批。。。
6号:高级内存扫描拦截。
7号:僵尸网络防护。


防御:6/8-7/8。@191196846 还是比火绒强啊

图片:


hips勒索软件护盾发威(然而文件挂了):






ps:现阶段eset的“主防”:hips组件下的勒索软件护盾功能拦截率还是不错的,然而基本每一个通过这个组件拦截的勒索都会被加密部分文件甚至被加密所有文件。官方说加入回滚会影响性能

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
DF快递
发表于 6 天前 | 显示全部楼层
avast 剩下 2.exe  
8.exe沙盒运行kill

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
bambooslip
发表于 6 天前 | 显示全部楼层
景云 2017年5月10号
双击
(1)主动防御拦截

(7)主动防御拦截

(4)样本运行成功,自动删除,拦截失败。
(2)

(3)

(5)

(6)

拦截率28.5%


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
wjy19800315
发表于 6 天前 | 显示全部楼层
ESET杀6个剩余5与8

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
小飞侠.net
发表于 6 天前 | 显示全部楼层
本帖最后由 小飞侠.net 于 2017-12-6 23:48 编辑

瑞星---(Windows 10 Creators Update(Redstone 2)....):云引擎(开)RDM+引擎(开)   
                瑞星反恶软引擎命令行扫描器(社区交流版)                 


编译于:Sep 22 2017   15:07:50

提示:
  - 本工具供社区交流使用,请勿用于其他用途
  - 本工具没有恶意软件删除、清除、隔离功能
  - 本工具包含开发中的新特性,结果仅供参考

* 命令行中的选项开关:-output-json -log=C:\瑞星RDM+引擎\ScanLog_171206223543.log
* 获取恶软签名库最新版本 ...
* 下载恶软签名库配置文件 ...
* 创建恶软签名库升级组件 ...
* 计算并下载增量文件 ...
* 升级恶软签名库 ...
* 恶软签名库升级成功
* 扫描目标 : (1) C:\Users\Admin\Desktop\AVtest100\Virus8x 0BAED810TTT1206

* 加载恶软签名库: C:\瑞星RDM+引擎/malware.rmd
* 恶软签名库加载成功,发布序号为 3293
* 读取恶软签名库配置 ...
* 云辅助扫描组件初始化失败.
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
扫描开始: Wed Dec 06 22:36:00 2017

{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus8x 0BAED810TTT1206\\Virus8x 1206\\(8).exe","infect":{"engine":"tfe","signature":"dGZlOgLwo+IZZ0pppQ","threat":"Spyware.SpyEyes!8.4AA"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus8x 0BAED810TTT1206\\Virus8x 1206\\(5).exe","infect":{"engine":"c64","signature":"YzY0OoX04NKWxWA2","threat":"Trojan.Kryptik!8.8"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus8x 0BAED810TTT1206\\Virus8x 1206\\(6).exe","infect":{"engine":"rdmk","signature":"cmRtazqkwK4uOyRmAGDFYpUabbiv","threat":"Malware.Heuristic!ET#99%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus8x 0BAED810TTT1206\\Virus8x 1206\\(3).exe","infect":{"engine":"c64","signature":"YzY0OhgNdEuc1PMW","threat":"Trojan.Injector!8.C4"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus8x 0BAED810TTT1206\\Virus8x 1206\\(4).exe","infect":{"engine":"sha1","signature":"c2hhMTp4EE+fisds+jr610Wf1TbGmM482Q","threat":"Trojan.Khalesi!8.F103"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus8x 0BAED810TTT1206\\Virus8x 1206\\(7).exe","infect":{"engine":"rdmk","signature":"cmRtazrUiea1v7hEsnduX6P+33dp","threat":"Malware.Heuristic!ET#99%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus8x 0BAED810TTT1206\\Virus8x 1206\\(1).exe","infect":{"engine":"c64","signature":"YzY0OiiSTv3kdcDG","threat":"Trojan.GenKryptik!8.AA55"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus8x 0BAED810TTT1206\\Virus8x 1206\\(2).exe","type":"scan"}

扫描结束: Wed Dec 06 22:36:01 2017

总扫描耗时: 0:0:949(m:s:ms)
总扫描对象: 8
总扫描文件: 8
总恶意文件: 7
有效检出率: 87.50%



Emsisoft Emergency Kit - 版本 2017.11
上次更新: 2017/12/6 21:56:24
用户帐号: TECLAST\Admin
电脑名称: TECLAST
操作系统版本: Windows 10x64

Emsisoft Emergency Kit 绿色免费版
(已开启)加入 Emsisoft 云、更新源:测试版
    Bitdefender+Emsisoft 双引擎

扫描设置:

扫描方式: 自定义扫描
对象: Rootkits, 内存, C:\Users\Admin\Desktop\AVtest100\Virus8x 0BAED810TTT1206\

检测流氓软件(PUPs): On
扫描压缩包: On
扫描邮件存档: On
ADS数据流: On
文件扩展名过滤: Off
直接磁盘访问: Off

扫描开始于:        2017/12/6 22:30:31
C:\Users\Admin\Desktop\AVtest100\Virus8x 0BAED810TTT1206\Virus8x 1206\(1).exe         发现风险: Trojan.GenericKD.6280136 (B) [krnl.xmd]

已扫描        1804
发现       1只。。。。BD引擎干什么去了?????

扫描完成后:        2017/12/6 22:30:47
扫描时间:        0:00:16



ESET Smart Security Premium 64位(高级启发式(Y)+压缩文件(Y)+自解压加壳(Y)+DNA智能签名(Y)++(Windows 10 Creators Update(Redstone 2)....):Found nothing
----很新很强大。。。。
日志
正在扫描日志
检测引擎的版本: 16528P (20171206)
日期: 2017/12/6  时间: 22:10:44
已扫描的磁盘、文件夹和文件: C:\Users\Admin\Desktop\AVtest100\Virus8x 0BAED810TTT1206
C:\Users\Admin\Desktop\AVtest100\Virus8x 0BAED810TTT1206\Virus8x 1206\(1).exe - Win32/Injector.DUGF 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\Virus8x 0BAED810TTT1206\Virus8x 1206\(2).exe - Suspicious Object - 扫描完成后再选择处理方式
C:\Users\Admin\Desktop\AVtest100\Virus8x 0BAED810TTT1206\Virus8x 1206\(3).exe - Win32/Injector.DUHT 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\Virus8x 0BAED810TTT1206\Virus8x 1206\(4).exe - Win32/GenKryptik.BHTG 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\Virus8x 0BAED810TTT1206\Virus8x 1206\(6).exe - Generik.LDOPKZM 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\Virus8x 0BAED810TTT1206\Virus8x 1206\(7).exe - Suspicious Object - 扫描完成后再选择处理方式
已扫描的对象数: 23
发现的威胁数: 6
已清除对象数: 4
完成时间: 22:11:23  总扫描时间: 39 秒 (00:00:39)

备注:
[1] 由于对象中仅包含病毒主体,因此已被删除。




火绒安全---( Windows 7 Ultimate with SP1 简体中文旗舰版....):部分未知文件已发送到seclab@huorong.cn,等处理中。。。

病毒库:2017/12/06 15:20
开始时间:2017/12/06 22:01
总计用时:00:00:22
扫描对象:33个
扫描文件:8个
发现风险:3个
已处理风险:0个
发现系统修复项:0个
处理系统修复项:0个

文件名称: C:\Users\xfxnet2000\Desktop\MX Player Pro\刘1\艾2\61647309\85014225\孙3\Windows Defender\AVTestZipX\Virus8x 1206.rar
文件大小: 1.84 MB (1,932,660 字节)
修改时间: 2017年12月06日,22:01:20
MD5: 378CFAFFE857B3C50583470C539C5EED
SHA1: 0BE7FF50BE2AD09F6554115EA7CFAE2A8DE51F11
SHA256: 699A758D56015E130DF67F5C99E68DF03BE729195ACF9D1804DD73B2A1C7299B
SHA512: 213ABCC9BCE733089926F3D953B741B8DD7BB3CBC726F4B07DA7D66F113AD9EB5D57131B837C8949BCDF30FCD17B4C4041F7447F3A4BD7D34DD40F2AD960B00C
CRC32: 0BAED810
计算时间: 0.05s



病毒详情

风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\刘1\艾2\61647309\85014225\孙3\Windows Defender\AVTestZipX\Virus8x 1206\(4).exe, 病毒名:Trojan/Injector.dl, 病毒ID:[cec17aa3dea03ae5], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\刘1\艾2\61647309\85014225\孙3\Windows Defender\AVTestZipX\Virus8x 1206\(7).exe, 病毒名:HVM:VirTool/Obfuscator.gen!A, 病毒ID:[b27d4294cde6a1ec], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\刘1\艾2\61647309\85014225\孙3\Windows Defender\AVTestZipX\Virus8x 1206\(8).exe, 病毒名:HEUR:VirTool/Obfuscator.gen!B, 病毒ID:[2d18551aef762f90], 处理结果:已忽略

X-Sec Antivirus ---(Windows 10 Creators Update(Redstone 2)....):

Start Time: Wed Dec  6 22:39:35 2017
Scan Type: Custom Scan
Scan Target: C:\Users\Admin\Desktop\AVtest100\Virus8x 0BAED810TTT1206
Heuristic Engine: Enabled
Cloud Engine: Enabled
Resolve Threats: Scan only
Database Version: 2017.12.05.01
C:\Users\Admin\Desktop\AVtest100\Virus8x 0BAED810TTT1206\Virus8x 1206\(5).exe -> Cloud:Trojan.Win32.Injector
C:\Users\Admin\Desktop\AVtest100\Virus8x 0BAED810TTT1206\Virus8x 1206\(6).exe -> Cloud:Trojan.Win32.Trickbot
Elapsed Time: 00:00:12
Total File: 8
Skipped File: 0
Infected File: 2



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
心醉咖啡
发表于 6 天前 | 显示全部楼层
360

  1. 360杀毒扫描日志

  2. 病毒库版本:
  3. 扫描时间:2017-12-06 22:17:49
  4. 扫描用时:00:00:09
  5. 扫描类型:右键扫描
  6. 扫描文件总数:8
  7. 项目总数:4
  8. 清除项目数:4

  9. 扫描选项
  10. ----------------------
  11. 扫描所有文件:是
  12. 扫描压缩包:是
  13. 发现病毒处理方式:由用户选择处理
  14. 扫描磁盘引导区:是
  15. 扫描 Rootkit:是
  16. 使用云查杀引擎:是
  17. 使用QVM人工智能引擎:是
  18. 扫描建议修复项:是
  19. 常规引擎设置:未使用

  20. 扫描内容
  21. ----------------------
  22. F:\浏览器下载\Virus8x 1206


  23. 白名单设置
  24. ----------------------


  25. 扫描结果
  26. ======================
  27. 高危风险项
  28. ----------------------
  29. F:\浏览器下载\Virus8x 1206\(4).exe        HEUR/QVM03.0.AA3B.Malware.Gen        已删除
  30. F:\浏览器下载\Virus8x 1206\(7).exe        HEUR/QVM20.1.AA3B.Malware.Gen        已删除
  31. F:\浏览器下载\Virus8x 1206\(6).exe        HEUR/QVM20.1.AA3B.Malware.Gen        已删除
  32. F:\浏览器下载\Virus8x 1206\(5).exe        HEUR/QVM20.1.AA3B.Malware.Gen        已删除



  33. 可疑文件上传结果
  34. ----------------------
  35. f:\浏览器下载\virus8x 1206\(5).exe        上传成功
  36. f:\浏览器下载\virus8x 1206\(7).exe        上传成功
复制代码
191196846
 楼主| 发表于 6 天前 | 显示全部楼层
wangkaka 发表于 2017-12-6 22:01
eset(10月20号毒库)前来搞事:

KILL:1(8号样本GenKryptik高级启发报毒)

……测了这么久?
wangkaka
发表于 6 天前 | 显示全部楼层
191196846 发表于 2017-12-6 22:35
……测了这么久?

恩,有几个样本加了循环函数,特么的丧心病狂的估计有5分钟以上,为了绕过沙盒之类的防御措施。。
191196846
 楼主| 发表于 6 天前 | 显示全部楼层
bambooslip 发表于 2017-12-6 22:48
景云 2017年5月10号
双击
(1)主动防御拦截

XP有点老额……看样子很多运行库没装导致样本运行不起来

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-12-12 08:48 , Processed in 0.054248 second(s), 5 queries , MemCached On.

快速回复 返回顶部 返回列表