自制新病毒-2018-6-24-XiaoBa-test

www-tekeze

又有新发现，关闭火绒，在沙盘里不运行，但关闭窗口后会同时关闭沙盘，然后在沙盘外后台偷偷启动一个“QQ浏览器”的进程，最终结果还是给你装上2345的一键合集。。   当然，想突破影子那是不可能的。。

，就一个.

www-tekeze 发表于 2018-6-23 23:59
不明觉厉，你的怎么会报powershell.exe？ 我这里双击任何一个，都有四十来个弹窗，每个都是mshta.exe在调 ...

我也不知道啊

，就一个.

www-tekeze 发表于 2018-6-23 23:59
不明觉厉，你的怎么会报powershell.exe？ 我这里双击任何一个，都有四十来个弹窗，每个都是mshta.exe在调 ...

第二个也报了文件名: powershell.exe
威胁名称: SONAR.Powershell!gen8完整路径: c:\windows\syswow64\windowspowershell\v1.0\powershell.exe

____________________________

____________________________


在电脑上 
2018/6/23 ( 22:27:42 )

上次使用时间 
2018/6/24 ( 2:07:31 )

启动项 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


powershell.exe 威胁名称: SONAR.Powershell!gen8
定位


多数用户信任的文件
Norton 社区中有数百万用户 使用了此文件。

发布已久的文件
该文件已在 2 个月 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质


____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

冰晶淑女

ELOHIM 发表于 2018-6-23 21:04
hiip://xiaobaruanjian.xyz/XiaoBa/PSOK.hta   

这个呢。

xiaoba出的东西是不是都是病毒啊？

安全守护者

冰晶淑女 发表于 2018-6-24 07:18
xiaoba出的东西是不是都是病毒啊？

我已经把*xiaoba*拉黑了

cloud01

有没有在总结下 ，哪些动作容易过杀软启发？

www-tekeze

，就一个. 发表于 2018-6-24 02:08
第二个也报了文件名: powershell.exe
威胁名称: SONAR.Powershell!gen8完整路径: c:\windows\syswow64\w ...

真的不明白，你那里powershell.exe被感染了？ 解释不通。。。我这里看是会检测杀软，还会反沙盘，但不反虚拟机，这个是样本运行后半中间打开火绒拦截的，流氓一家子都齐了。。

，就一个.

www-tekeze 发表于 2018-6-24 10:46
真的不明白，你那里powershell.exe被感染了？ 解释不通。。。我这里看是会检测杀软，还会反沙盘，但不反 ...

不太了解诺顿

www-tekeze

安全守护者 发表于 2018-6-24 07:52
我已经把*xiaoba*拉黑了

这个样本我给火绒Report了，那些批量的没必要。。

www-tekeze

，就一个. 发表于 2018-6-24 10:50
不太了解诺顿

万物杀，也许是蒙的。。