Trojan.PowerShell（18.05.12）

专业挑刺儿

The Sb is highly likely to represent SandBox.
This is a compared reuslt with other samples---cloud detection mask and local signature detection mask

petr0vic

Dust-;羅錠 发表于 2018-5-13 01:17
很想问楼主一个问题，你是俄罗斯人吗？
I would like to ask you a question. Are you Russian?

yep

，就一个.

MES ExP:Illegal API Use 阻止 试图利用 C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE 的漏洞，该漏洞目标为 AtlComPtrAssign API。
分析器/检测程序
分析器内容创建日期        2018年5月2日 上午4:34
分析器内容版本        10.5.0.8381
产品名称        McAfee Endpoint Security
分析器规则 ID        6081
分析器规则名称        Powershell Command Restriction - NoProfile
产品版本        10.5.4.4240
功能名称        漏洞利用防护
 
威胁
执行的操作        阻止
威胁类别        主机入侵缓冲区溢出
威胁事件 ID        18054
威胁已被处理        是
威胁名称        ExP:Illegal API Use
威胁严重性        严重
威胁时间戳        2018年5月13日 上午2:14
威胁类型        漏洞利用防护
 
目标
目标访问时间        2018年5月13日 上午2:14
目标创建时间        2018年4月12日 上午4:30
目标文件大小(字节)        430592
目标哈希        dba3e6449e97d4e3df64527ef7012a10
目标主机名        DESKTOP-P2BFIH5
目标修改时间        2018年4月12日 上午4:30
目标名        POWERSHELL.EXE
目标父级进程哈希        f3bdbe3bb6f734e357235f4d5898582d
目标父级进程名        CMD.EXE
目标父级进程已签名        是
目标父级进程签名者        C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, CN=MICROSOFT WINDOWS
目标路径        C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0
目标进程名        POWERSHELL.EXE
目标已签名        是
目标签名者        C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, CN=MICROSOFT WINDOWS
目标用户名        DESKTOP-P2BFIH5\ZX-33-3
 
其他
媒介类型        本地系统
客户端 ID        1

，就一个.

MES主防杀EXE

自适应威胁防护已修复 D:\360极速浏览器下载\DA9EA3D019F917FA6E23CA37F4BEE183E4AC0F4095F19365C04876F6A254955F.EXE，因为其信誉 (已知恶意文件) 低于配置的清理阈值。
分析器/检测程序
产品名称        McAfee Endpoint Security
产品版本        10.5.4.4209
McAfee GTI 查询        是
功能名称        Real Protect Client

威胁
执行的操作        清理
威胁类别        检测到恶意软件
威胁事件 ID        35107
威胁已被处理        是
威胁名称        Real Protect-LS!d5ba438e76b0
威胁严重性        严重
威胁时间戳        2018年5月13日 上午2:22
威胁类型        特洛伊木马程序

源
源访问时间        2018年5月13日 上午2:18
源创建时间        2018年4月12日 上午4:29
源文件大小        3611360
源主机名        DESKTOP-P2BFIH5
源修改时间        2018年4月12日 上午4:29
源进程名称        C:\WINDOWS\EXPLORER.EXE
源用户名        DESKTOP-P2BFIH5\ZX-33-3

目标
目标哈希        d5ba438e76b0bd0bf2bbd9e7ee2edc00
目标主机名        DESKTOP-P2BFIH5
目标名        DA9EA3D019F917FA6E23CA37F4BEE183E4AC0F4095F19365C04876F6A254955F.EXE
目标路径        D:\360极速浏览器下载

其他
媒介类型        本地系统
检测消息        自适应威胁防护检测
检测隔离 ID        {CB7483CB-4671-4B53-B1F3-DE0AD751E554}

心醉咖啡

毒霸扫描miss

猥琐大叔

grantzoo

BD清空

ATP_synthase

专业挑刺儿 发表于 2018-5-13 01:52
quick cloud respond

13.05.2018 01.51.33;Detected object (file) deleted;C:\浏览器下载\archive\ba ...

报毒名不一样

Jerry.Lin

petr0vic 发表于 2018-5-13 01:01
bat to exe

https://s.threatbook.cn/report/file/da9ea3d019f917fa6e23ca37f4bee183e4ac0f4095f19365c0 ...

MB

Trojan.Dropper

专业挑刺儿

wusiyuanjh 发表于 2018-5-13 09:51
报毒名不一样

我这里还没有改。
可能因为你是18版
因为两者用的库不完全一致。19版比18版还要少20MB的。