【04.19】#VirusPackage 5x

杰伦Ｊ时代

杰伦Ｊ时代

第四个MISS

con16

CIS

petr0vic

BD
3/5
(2).exe - Gen:Variant.Johnnie.97941
(5).exe - Gen:Trojan.Heur.FU.euW@aOOeh
(3).exe - Gen:Variant.Razy.17108

欧阳宣

Malwarebytes

File: 4
Spyware.KeyBase, E:\VIRUS\(3).EXE, No Action By User, [5137], [99274],1.0.4794
Generic.Malware/Suspicious, E:\VIRUS\(5).EXE, No Action By User, [0], [392686],1.0.4794
MachineLearning/Anomalous.97%, E:\VIRUS\(2).EXE, No Action By User, [0], [392687],1.0.4794
Generic.Malware/Suspicious, E:\VIRUS\(1).EXE, No Action By User, [0], [392686],1.0.4794

B100D1E55

ESET 2月7日库：扫描kill 2，3；高敏kill 1

剩下的4和5：4删除自身，其他的没认真看，有点怪。现已被livegrid拉黑
剩下的5又是powershell下载图片，然后图片是另一个powershell，我晕。这种基本属于不打自招型，把executable base64加密了一下指定入口点跑。囧囧囧，杀出来的就BD、卡巴、Ikarus少数几家，还不知道是凭什么杀的。把这个powershell贴上来了。时间有限没在测试机上跑这个脚本，说不定能被AMSI逮住

ELOHIM

B100D1E55 发表于 2018-4-19 22:54
ESET 2月7日库：扫描kill 2，3；高敏kill 1

剩下的4和5：4删除自身，其他的没认真看，有点怪。现已被liv ...

抱歉，你的附件微软认为是恶意的并且已经入库。
SCEP : TrojanDropper:PowerShell/Ploty.C

file:C:\Users\\AppData\Local\Temp\7zE858A3AB8\loadinglit.txt

B100D1E55

ELOHIM 发表于 2018-4-20 00:38
抱歉，你的附件微软认为是恶意的并且已经入库。
SCEP : TrojanDropper:PowerShell/Ploty.C

微软好样的

小飞侠.net

X-Sec Antivirus ---（Windows 10 Creators Update（Redstone 3）....）：


Basic Info:
---------------------
Database Version: 2018.04.17.01
Program Version: 2.1.1.0
Heuristic Engine: Enabled
Cloud Engine: Enabled
Enhanced Mode: Disabled
Backup Before Resolve: Yes
Resolve Threats: Scan only
Scan Priority: Normal
---------------------
Targets:
---------------------
C:\Users\Admin\Desktop\AVtest100\Virus5x 0419MSIL
---------------------
2018/04/20 10:31:27 Threat Detected: C:\Users\Admin\Desktop\AVtest100\Virus5x 0419MSIL\Virus5x 0419\(2).exe -- [Cloud] Cloud:Trojan.Win32.Injector
2018/04/20 10:31:27 Threat Detected: C:\Users\Admin\Desktop\AVtest100\Virus5x 0419MSIL\Virus5x 0419\(3).exe -- [Classic] Trojan.Win32.Keylogger.Ak!GEN
2018/04/20 10:31:29 Threat Detected: C:\Users\Admin\Desktop\AVtest100\Virus5x 0419MSIL\Virus5x 0419\(1).exe -- [Cloud] Cloud:Trojan.Win32.Generic
2018/04/20 10:31:29 Threat Detected: C:\Users\Admin\Desktop\AVtest100\Virus5x 0419MSIL\Virus5x 0419\(5).exe -- [Cloud] Cloud:Trojan.Win32.Downloader
2018/04/20 10:31:38 Threat Detected: C:\Users\Admin\Desktop\AVtest100\Virus5x 0419MSIL\Virus5x 0419\(4).exe -- [Classic] Trojan.Win32.Generic!BS




瑞星---（Windows 10 Creators Update（Redstone 3）....）：云引擎（开）RDM+引擎（开）   

                瑞星反恶软引擎命令行扫描器（社区交流版）                 


编译于：Sep 22 2017   15:07:50

提示：
  - 本工具供社区交流使用，请勿用于其他用途
  - 本工具没有恶意软件删除、清除、隔离功能
  - 本工具包含开发中的新特性，结果仅供参考

* 命令行中的选项开关：-output-json -log=C:\瑞星RDM+引擎\ScanLog_180420102810.log
* 获取恶软签名库最新版本 ...
* 下载恶软签名库配置文件 ...
* 创建恶软签名库升级组件 ...
* 计算并下载增量文件 ...
* 升级恶软签名库 ...
* 恶软签名库升级成功
* 扫描目标 : (1) C:\Users\Admin\Desktop\AVtest100\Virus5x 0419MSIL

* 加载恶软签名库： C:\瑞星RDM+引擎/malware.rmd
* 恶软签名库加载成功，发布序号为 4094
* 读取恶软签名库配置 ...
* 云辅助扫描组件初始化失败.
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
扫描开始: Fri Apr 20 10:28:27 2018

{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus5x 0419MSIL\\Virus5x 0419\\(5).exe","infect":{"engine":"sha1","signature":"c2hhMToICTGIAbWkLGbrR+UcPspHlYiNDA","threat":"Trojan.Cometer!8.E150"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus5x 0419MSIL\\Virus5x 0419\\(3).exe","infect":{"engine":"sha1","signature":"c2hhMTrCXBaYoBCmYOYlK8Pv70hQlLXmMA","threat":"Trojan.MSIL.KeyLogger!1.647D"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus5x 0419MSIL\\Virus5x 0419\\(2).exe","infect":{"engine":"sha1","signature":"c2hhMTp3OrjivnzsBl9A3+V8OWSHg0k5ng","threat":"Backdoor.Androm!8.113"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus5x 0419MSIL\\Virus5x 0419\\(1).exe","infect":{"engine":"rdmk","signature":"cmRtazoY7rNKFRtRluN3yKE0OJ7a","threat":"Malware.Heuristic!ET#87%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\Virus5x 0419MSIL\\Virus5x 0419\\(4).exe","type":"scan"}

扫描结束: Fri Apr 20 10:28:29 2018

总扫描耗时: 0:1:484(m:s:ms)
总扫描对象: 5
总扫描文件: 5
总恶意文件: 4
有效检出率: 80.00%




Emsisoft Emergency Kit - 版本 2018.3
上次更新： 2018/4/20 9:02:58
用户帐号： TECLAST\Admin
电脑名称： TECLAST
操作系统版本： Windows 10x64

Emsisoft Emergency Kit 绿色免费版
(已开启)加入 Emsisoft 云、更新源：测试版
    Bitdefender（B）+Emsisoft（A） 双引擎

扫描设置：

扫描方式： 自定义扫描
对象： Rootkits, 内存, C:\Users\Admin\Desktop\AVtest100\Virus5x 0419MSIL\

检测流氓软件(PUPs)： On
扫描压缩包： On
扫描邮件存档： Off
ADS数据流： On
文件扩展名过滤： Off
直接磁盘访问： Off

扫描开始于：        2018/4/20 10:24:54
C:\Users\Admin\Desktop\AVtest100\Virus5x 0419MSIL\Virus5x 0419\(5).exe         发现风险： Gen:Trojan.Heur.FU.euW@aOOeh@di (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\Virus5x 0419MSIL\Virus5x 0419\(2).exe         发现风险： Gen:Variant.Johnnie.97941 (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\Virus5x 0419MSIL\Virus5x 0419\(3).exe         发现风险： Gen:Variant.Razy.17108 (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\Virus5x 0419MSIL\Virus5x 0419\(1).exe         发现风险： Trojan.GenericKD.30629797 (B) [krnl.xmd]

已扫描        1832
发现        4

扫描完成后：        2018/4/20 10:25:13
扫描时间：        0:00:19




=============================================================================
Dr.Web Scanner SE for Windows v9.1.4.01271
(c) Doctor Web, Ltd., 1992-2013
Scan session started 2018/04/20 10:10:43
Module location : c:\users\xfxnet2000\appdata\local\temp\2AA46920-347B5E00-FC8E7FC0-51E865F0\
=============================================================================

OPTION [Automatic Apply Actions] NO
OPTION [Turn Off Computer After Scan] NO
OPTION [Use Sound Alerts] NO

OPTION [Block Network] NO
OPTION [Protect Process] NO
OPTION [Protect Raw Disk] NO

Time from server is: 2018-04-20 05:08:46
Using language: "Chinese-Simplified (简体中文)"
Available instances: 10
Instances used: 10
Platform: Windows 7 Ultimate x86 (Build 7601), Service Pack 1
API Version: 2.2


Anti-rootkit module version ( ver: 11.1.201803260, api: 8.07 )

Using 137803332 as Dr.Web (R) Key file

-----------------------------------------------------------------------------
Start scanning
-----------------------------------------------------------------------------
Command line used:-rpcep:\pipe\39DA74669 -rpcpr:np

Limit the use of the computer resources to 100%
Instances used for this session: 10
Object(s) to scan:
- C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\Virus5x 0419


C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\Virus5x 0419\(3).exe - infected with Trojan.PWS.Stealer.17428
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\Virus5x 0419\(3).exe - infected
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\Virus5x 0419\(5).exe - infected with Trojan.DownLoader26.38825
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\Virus5x 0419\(5).exe - infected
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\Virus5x 0419\(2).exe - infected with Trojan.PWS.Spy.11887
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\Virus5x 0419\(2).exe - infected
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\Virus5x 0419\(1).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\Virus5x 0419\(4).exe - infected with Trojan.Gozi.281
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\Virus5x 0419\(4).exe - infected

Total 2777424 bytes in 5 files scanned
Total 1 file are clean
Total 4 files are infected
Scan time is 00:00:02.517



火绒安全---（ Windows 7 Ultimate with SP1 简体中文旗舰版....）：部分未知文件已发送到seclab@huorong.cn，等处理中。。。

病毒库：2018-04-19 15:28
开始时间：2018-04-20 10:02
总计用时：00:00:06
扫描对象：10个
扫描文件：5个
发现风险：2个
已处理风险：0个
发现系统修复项：0个
处理系统修复项：0个

病毒详情

风险路径：C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\Virus5x 0419\(2).exe, 病毒名：Trojan/Generic!8355B78F76C1E6CE, 病毒ID：[8355b78f76c1e6ce], 处理结果：已忽略
风险路径：C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\Virus5x 0419\(3).exe, 病毒名：TrojanSpy/MSIL.Agent.c, 病毒ID：[2e3535623c20235d], 处理结果：已忽略


文件名称: C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\Virus5x 0419.rar
文件大小: 1.57 MB (1,649,404 字节)
修改时间: 2018年04月20日，10:01:44
MD5: E4E17066CE92A14AC0A207D7BC531448
SHA1: BED2405F6ACFB679245B03C8FF080470BC912E61
SHA256: 4B7FE6775FB9C0B4878486052BBCC0C65B9FD1A407D75C3787B9499C6A233D0C
SHA512: 896771A6E80A6EB3CF68ED33E0F59C1429BF371AA4550DC6C2B35C24EB09953617189DE91742E3FCFFC003050DBCC0558D05A780AA00ED77762FDE6E722162B0
CRC32: 5DEC86DF
计算时间: 0.06s


ESET Smart Security Premium 64位（高级启发式（Y）+压缩文件（Y）+自解压加壳（Y）+DNA智能签名（Y）++（Windows 10 Creators Update（Redstone 3）....）：

日志
正在扫描日志
检测引擎的版本: 17251P (20180419)
日期: 2018/4/20  时间: 10:18:00
已扫描的磁盘、文件夹和文件: C:\Users\Admin\Desktop\AVtest100\Virus5x 0419MSIL
C:\Users\Admin\Desktop\AVtest100\Virus5x 0419MSIL\Virus5x 0419\(1).exe - Win32/Spy.Ursnif.BR 特洛伊木马 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\Virus5x 0419MSIL\Virus5x 0419\(2).exe - Win32/Fynloski.AN 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\Virus5x 0419MSIL\Virus5x 0419\(3).exe - MSIL/Spy.Agent.ADR 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\Virus5x 0419MSIL\Virus5x 0419\(4).exe - Win32/GenKryptik.BXND 特洛伊木马 的变种 - 通过删除清除 [1]
已扫描的对象数: 5
发现的威胁数: 4
已清除对象数: 4
完成时间: 10:18:06  总扫描时间: 6 秒 (00:00:06)

备注:
[1] 由于对象中仅包含病毒主体，因此已被删除。

aboringman

B100D1E55 发表于 2018-4-19 22:54
ESET 2月7日库：扫描kill 2，3；高敏kill 1

剩下的4和5：4删除自身，其他的没认真看，有点怪。现已被liv ...

Dr.Web says good night.

对象： loadinglit.txt

威胁： PowerShell.MulDrop.18