楼主: 安全守护者
收起左侧

[病毒样本] 病毒样本【持续更新】

  [复制链接]
毛可多来
发表于 2018-2-19 15:26:52 | 显示全部楼层
高度风险基本信息
文件名称:
play.exe
MD5:5d5de783a64cf2d3921c0256d80cbf98
文件类型:EXE
上传时间:2018-02-19 15:25:16
出品公司:N/A
版本:1.0.0.0
壳或编译器信息:PACKER:UPX V2.00-V3.00 -> Markus Oberhumer & Laszlo Molnar & John Reiser [Overlay] *
子文件信息:
upx30_47c9c1b4dumpFile /  f9144075929479d0a8a17bd3bf14e9c8 /  EXE




关键行为
行为描述:设置特殊文件属性
详情信息:
C:\WINDOWS\system32\cmd.bat
行为描述:修改注册表_禁用注册表编辑器项
详情信息:
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Policies\System\Disableregistrytools
行为描述:修改注册表_任务管理器关键属性
详情信息:
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
行为描述:获取TickCount值
详情信息:
TickCount = 241571, SleepMilliseconds = 25.


进程行为
行为描述:隐藏窗口创建进程
详情信息:
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = "C:\WINDOWS\system32\cmd.exe" /c ""C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\5.tmp\6.bat" "C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe""
行为描述:创建进程
详情信息:
[0x00000ae8]ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = "C:\WINDOWS\system32\cmd.exe" /c ""C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\5.tmp\6.bat" "C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe""
[0x00000b08]ImagePath = C:\WINDOWS\system32\attrib.exe, CmdLine = attrib C:\WINDOWS\system32\cmd.bat +r +s +h
[0x00000b38]ImagePath = C:\WINDOWS\system32\net.exe, CmdLine = net stop sharedaccess
[0x00000b58]ImagePath = C:\WINDOWS\system32\net1.exe, CmdLine = net1 stop sharedaccess
[0x00000b90]ImagePath = C:\WINDOWS\system32\net.exe, CmdLine = net stop Shadow" "System" "Service
[0x00000bb8]ImagePath = C:\WINDOWS\system32\net1.exe, CmdLine = net1 stop Shadow" "System" "Service
[0x00000be4]ImagePath = C:\WINDOWS\system32\reg.exe, CmdLine = reg add
[0x00000bf8]ImagePath = C:\WINDOWS\system32\reg.exe, CmdLine = reg add
[0x00000c00]ImagePath = C:\WINDOWS\system32\reg.exe, CmdLine = REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v Disableregistrytools /t REG_DWORD /d 00000001 /f
[0x00000c08]ImagePath = C:\WINDOWS\system32\reg.exe, CmdLine = REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 00000001 /f
[0x00000d7c]ImagePath = C:\WINDOWS\system32\subst.exe, CmdLine = subst c: d:\fly
[0x00000d90]ImagePath = C:\WINDOWS\system32\subst.exe, CmdLine = subst d: d:\fly
[0x00000d98]ImagePath = C:\WINDOWS\system32\subst.exe, CmdLine = subst e: d:\fly
[0x00000da4]ImagePath = C:\WINDOWS\system32\subst.exe, CmdLine = subst f: d:\fly
[0x00000db0]ImagePath = C:\WINDOWS\system32\subst.exe, CmdLine = subst g: d:\fly


文件行为
行为描述:创建文件
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\5.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\5.tmp\6.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\5.tmp\7.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\5.tmp\6.bat
C:\WINDOWS\system32\cmd.bat
行为描述:创建可执行文件
详情信息:
C:\WINDOWS\system32\cmd.bat
行为描述:修改脚本文件
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\5.tmp\6.bat ---> Offset = 0
C:\WINDOWS\system32\cmd.bat ---> Offset = 0
C:\WINDOWS\system32\cmd.bat ---> Offset = 4096
C:\WINDOWS\system32\cmd.bat ---> Offset = 8192
C:\WINDOWS\system32\cmd.bat ---> Offset = 12288
行为描述:查找文件
详情信息:
FileName = C:\DOCUME~1
FileName = C:\DOCUME~1\ADMINI~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\WINDOWS\system32\cmd.*
FileName = C:\Documents and Settings\Administrator\My Documents
FileName = C:\Documents and Settings\All Users
FileName = C:\Documents and Settings\All Users\Documents
FileName = C:\Documents and Settings\Administrator\桌面
FileName = C:\Documents and Settings\All Users\桌面
FileName = C:\WINDOWS
FileName = C:\WINDOWS\system32
行为描述:设置特殊文件属性
详情信息:
C:\WINDOWS\system32\cmd.bat
行为描述:删除文件
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\5.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\5.tmp\6.tmp
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe.dump\upx30_47c9c1b4dumpFile
C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\5.tmp\7.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\5.tmp\6.bat
行为描述:复制文件
详情信息:
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe ---> C:\WINDOWS\system32\cmd.bat


注册表行为
行为描述:修改注册表_禁用注册表编辑器项
详情信息:
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Policies\System\Disableregistrytools
行为描述:修改注册表_任务管理器关键属性
详情信息:
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr


其他行为
行为描述:创建互斥体
详情信息:
CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
行为描述:创建事件对象
详情信息:
EventName = DINPUTWINMM
行为描述:获取TickCount值
详情信息:
TickCount = 241571, SleepMilliseconds = 25.
行为描述:调整进程token权限
详情信息:
SE_LOAD_DRIVER_PRIVILEGE
行为描述:打开事件
详情信息:
HookSwitchHookEnabledEvent
_fCanRegisterWithShellService
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
Global\SvcctrlStartEvent_A3752DX
行为描述:停止系统服务
详情信息:
ServiceName = Windows Firewall/Internet Connection Sharing (ICS)
行为描述:可执行文件签名信息
详情信息:
C:\WINDOWS\system32\cmd.bat(签名验证: 未通过)
行为描述:调用Sleep函数
详情信息:
[1]: MilliSeconds = 25.
[2]: MilliSeconds = 25.
[3]: MilliSeconds = 25.
[4]: MilliSeconds = 25.
[5]: MilliSeconds = 25.
[6]: MilliSeconds = 25.
[7]: MilliSeconds = 25.
[8]: MilliSeconds = 25.
[9]: MilliSeconds = 25.
[10]: MilliSeconds = 25.
行为描述:可执行文件MD5
详情信息:
C:\WINDOWS\system32\cmd.bat ---> 5d5de783a64cf2d3921c0256d80cbf98
行为描述:打开互斥体
详情信息:
Local\!IETld!Mutex
ShimCacheMutex


进程树
  • [url=]****.exe (PID: 0x00000ad8)[/url]
    • [url=]cmd.exe (PID: 0x00000ae8)[/url]
      • [url=]attrib.exe (PID: 0x00000b08)[/url]
      • [url=]net.exe (PID: 0x00000b38)[/url]
      • [url=]net.exe (PID: 0x00000b90)[/url]
      • [url=]reg.exe (PID: 0x00000be4)[/url]
      • [url=]reg.exe (PID: 0x00000bf8)[/url]
      • [url=]reg.exe (PID: 0x00000c00)[/url]
      • [url=]reg.exe (PID: 0x00000c08)[/url]
      • [url=]subst.exe (PID: 0x00000d7c)[/url]
      • [url=]subst.exe (PID: 0x00000d90)[/url]
      • [url=]subst.exe (PID: 0x00000d98)[/url]
      • [url=]subst.exe (PID: 0x00000da4)[/url]
      • [url=]subst.exe (PID: 0x00000db0)[/url]
      • [url=]subst.exe (PID: 0x00000dbc)[/url]
      • [url=]subst.exe (PID: 0x00000dc4)[/url]
      • [url=]subst.exe (PID: 0x00000dd0)[/url]
      • [url=]subst.exe (PID: 0x00000de0)[/url]
      • [url=]subst.exe (PID: 0x00000dec)[/url]
      • [url=]subst.exe (PID: 0x00000df8)[/url]
      • [url=]subst.exe (PID: 0x00000e04)[/url]
      • [url=]subst.exe (PID: 0x00000e10)[/url]
      • [url=]subst.exe (PID: 0x00000e1c)[/url]
      • [url=]subst.exe (PID: 0x00000e28)[/url]
      • [url=]subst.exe (PID: 0x00000e34)[/url]
      • [url=]subst.exe (PID: 0x00000e50)[/url]
      • [url=]subst.exe (PID: 0x00000e68)[/url]
      • [url=]subst.exe (PID: 0x00000e74)[/url]
      • [url=]subst.exe (PID: 0x00000e80)[/url]
      • [url=]subst.exe (PID: 0x00000e8c)[/url]
      • [url=]subst.exe (PID: 0x00000e98)[/url]
      • [url=]subst.exe (PID: 0x00000ea0)[/url]
      • [url=]subst.exe (PID: 0x00000eb0)[/url]





文件分析图谱(PortEx)



安全守护者
头像被屏蔽
 楼主| 发表于 2018-2-19 18:10:32 | 显示全部楼层
小更新:
更新后版本号:1.0.2.0
更新内容:
#增加了部分恶意行为


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
MrDeep
发表于 2018-2-19 21:10:13 | 显示全部楼层
AEGIS拦截
bbszy
发表于 2018-2-19 21:32:14 | 显示全部楼层
安全守护者 发表于 2018-2-19 18:10
小更新:
更新后版本号:1.0.2.0
更新内容:

Filename: play.exe
Threat name: Trojan.Gen.2Full Path: c:\users\v\downloads\play.exe

____________________________

____________________________


On computers as of 
2018/2/19 at 21:31:56

Last Used 
2018/2/19 at 21:31:56

Startup Item 
No

Launched 
No

Threat type: Virus. Programs that infect other programs, files, or areas of a computer by inserting themselves or attaching themselves to that medium.


____________________________


play.exe Threat name: Trojan.Gen.2
Locate


Very Few Users
Fewer than 5 users in the Norton Community have used this file.

Very New
This file was released less than 1 week  ago.

High
This file risk is high.


____________________________


https://att.kafan.cn/forum.php?mo ... DQ2MDg2NnwyMTE2Mjcx
Downloaded File  from att.kafan.cn
Source: External Media


____________________________

File Actions

File: c:\users\v\downloads\ play.exe Blocked
____________________________


File Thumbprint - SHA:
Not available
File Thumbprint - MD5:
Not available
Jerry.Lin
发表于 2018-2-19 21:48:35 | 显示全部楼层
安全守护者 发表于 2018-2-19 18:10
小更新:
更新后版本号:1.0.2.0
更新内容:

还是过不了BD启发,楼主加油
  1. Emsisoft Anti-Malware - 版本 2018.1.1.8439
  2. 最后更新: 2018/2/19 21:36:21
  3. 发起者: DESKTOP-G67ASI6\USER
  4. 电脑名称: DESKTOP-G67ASI6
  5. 操作系统版本: Windows 10x64

  6. 扫描设置:

  7. 扫描方式:
  8. 对象: C:\Users\USER\Downloads\Compressed\Virus Test\play.zip

  9. 检测流氓软件(PUPs): 开
  10. 扫描存档: 开
  11. 扫描邮件档案: 关
  12. ADS数据流扫描: 开
  13. 文件扩展名过滤: 关
  14. 直接磁盘访问: 关

  15. 扫描开始:        2018/2/19 21:47:59
  16. C:\Users\USER\Downloads\Compressed\Virus Test\play.zip -> play.exe          Gen:Variant.Graftor.457516 (B) [krnl.xmd]

  17. 扫描        1
  18. 发现        1

  19. 扫描结束:        2018/2/19 21:48:00
  20. 扫描时间:        0:00:01

  21. C:\Users\USER\Downloads\Compressed\Virus Test\play.zip        已删除: Gen:Variant.Graftor.457516 (B)

  22. 已删除:        1
复制代码
MadDreamland
发表于 2018-2-19 22:12:35 | 显示全部楼层
火绒扫描miss
ATP_synthase
发表于 2018-2-19 22:15:39 | 显示全部楼层
安全守护者 发表于 2018-2-19 18:10
小更新:
更新后版本号:1.0.2.0
更新内容:

也还是过不了卡巴启发

卡巴斯基安全软件

拒绝访问
无法访问该网页

对象网址:

https://att.kafan.cn/forum.php?mo ... DN8MjExNjI3MQ%3D%3D
原因: 对象被感染 HEUR:Trojan.Win32.Generic

消息生成时间: 2018/2/19 22:14:38
Agu
发表于 2018-2-19 22:36:51 | 显示全部楼层
Malwarebytes - 2X

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
刘然12
发表于 2018-2-20 00:29:59 | 显示全部楼层
火绒过,2345好压报毒,火绒你太让我失望了
ttdown
发表于 2018-2-20 00:37:09 | 显示全部楼层
安全守护者 发表于 2018-2-19 18:10
小更新:
更新后版本号:1.0.2.0
更新内容:

Win10 WD

Trojan:Win32/Fuerboos.A!cl
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 05:09 , Processed in 0.113796 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表