行为高危的病毒样本

remiliacn

解压密码为infected。

病毒特征：

1、可疑衍生物
2、检测到网络蠕虫
3、与低信誉IP的交互行为

衍生物：


HTTP请求：

1. http://87.106.145.51/

复制代码

安全守护者

火绒---->Miss
Tencent---->Miss

安全守护者

可能进行了时间有效期检查，检查本地时间后过早退出
发起了一些HTTP请求
创建RWX内存
强制将一个创建的进程加载为另一个不相关进程的子进程
为自己的请求模仿系统的用户代{过}{滤}理字符串
投放出一个二进制文件并执行它
魔盾wping.org IP地址信誉系统
HTTP数据流中包含可疑的恶意软件数据
二进制文件可能包含加密或压缩数据
从磁盘上删除自身的原始二进制
尝试删除从因特网下载文件的证据
执行了一个进程并在其中注入代码（可能是在解包过程中）
通过进程尝试长时间延迟分析任务
尝试通过重复调用同一个API多次以拖延分析时间
将自己装载到Windows开机自动启动项目
盗取已安装的即时消息客户端相关的信息
文件已被至少七个VirusTotal上的反病毒引擎检测为病毒

桑德尔

铁壳杀

松竹承茂

ATP_synthase

卡巴全杀

bbs2811125

avira kill
02/08/2018,10-26-21        [INFO]        The file 'c:\users\kyss\desktop\003bb8231d5a9f17083b68cfe2f87723\0061.exe' was scanned with the Protection Cloud. SHA256 = 2668A61DA27BD20868B8DB125611772E962E3B048EED3012AF0C65327087DA85
02/08/2018,10-26-21        [INFO]        c:\users\kyss\desktop\003bb8231d5a9f17083b68cfe2f87723\0061.exe
02/08/2018,10-26-21        [INFO]        [DETECTION] file contains 'HEUR/APC'

XZ8SM7Sx0bVkoUV

火绒

Jerry.Lin

1. 事件类型:     检测到疑似感染的对象
   
2. 应用程序\名称:     WinRAR archiver
   
3. 应用程序\路径:     C:\Program Files\WinRAR2\
   
4. 应用程序\进程 ID:     1640
   
5. 用户:     DESKTOP-G67ASI6\USER (活动用户)
   
6. 组件:     文件反病毒
   
7. 结果\描述:     检测到威胁
   
8. 结果\名称:     UDS:DangerousObject.Multi.Generic
   
9. 结果\威胁级别:     高
   
10. 结果\精确度:     启发式分析
    
11. 对象:     C:\Sandbox\USER\DefaultBox\user\current\Downloads\Compressed\Virus Test\wWh9IOFHcrACZk.exe\wWh9IOFHcrACZk.exe
    
12. 对象\类型:     文件
    
13. 对象\路径:     C:\Sandbox\USER\DefaultBox\user\current\Downloads\Compressed\Virus Test\wWh9IOFHcrACZk.exe\
    
14. 对象\名称:     wWh9IOFHcrACZk.exe
    
15. 原因:     KSN
    

复制代码

病毒探索者

卡巴斯基