【自制joke病毒】Blue Tencent

，就一个.

帝辛 发表于 2018-6-24 15:36
B杀大半无脑。不可拿出来当做杀了的处理

机器学习杀，什么叫无脑杀？你觉得不行你弄一个机器学习无脑杀来试试

ELOHIM

破天荒，神奇，稀奇。
SCEP居然杀了这个样本。
叫做：Trojan:Win32/Occamy.C
This threat can perform a number of actions of a malicious hacker's choice on your PC.

善良↗小青年

双击生成两个文件,卡巴没报毒,接着提示找不到一个VBS文件

左手

2018/6/24 星期日 21:09:19    创建文件 风险提示:低风险    允许
进程: c:\users\administrator\desktop\blue tencent.exe
目标: C:\Users\Administrator\AppData\Local\Temp\AF13.tmp\AF14.tmp\AF15.bat
规则: [应用程序]?:\*\*\*\* -> [文件]*temp\*; *.bat

2018/6/24 星期日 21:09:26    创建文件 风险提示:低风险    允许
进程: c:\users\administrator\desktop\blue tencent.exe
目标: C:\Users\Administrator\Desktop\SETRES.EXE
规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/菜单 -> [文件]c:\users\*\desktop\*

2018/6/24 星期日 21:09:33    创建文件 风险提示:低风险    允许
进程: c:\users\administrator\desktop\blue tencent.exe
目标: C:\Users\Administrator\Desktop\ntsd.exe
规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/菜单 -> [文件]c:\users\*\desktop\*

2018/6/24 星期日 21:09:33    修改文件 风险提示:敏感    阻止
进程: c:\users\administrator\desktop\blue tencent.exe
目标: C:\Users\Administrator\Desktop
规则: [应用程序]?:\*\*\*\* -> [文件]c:\users\administrator\*

2018/6/24 星期日 21:09:43    创建新进程 风险提示:未知    允许
进程: c:\users\administrator\desktop\blue tencent.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\Windows\system32\cmd.exe" /c "C:\Users\Administrator\AppData\Local\Temp\AF13.tmp\AF14.tmp\AF15.bat "C:\Users\Administrator\Desktop\Blue Tencent.exe""
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe

2018/6/24 星期日 21:09:51    创建文件 风险提示:低风险    允许
进程: c:\windows\system32\cmd.exe
目标: C:\Windows\system32\SETRES.EXE
规则: [应用程序]?:\windows\system32\cmd.exe -> [文件]*; *.exe

2018/6/24 星期日 21:09:57    删除文件 风险提示:敏感    允许
进程: c:\windows\system32\cmd.exe
目标: C:\Users\Administrator\Desktop\SETRES.EXE
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

2018/6/24 星期日 21:10:03    创建文件 风险提示:低风险    允许
进程: c:\windows\system32\cmd.exe
目标: C:\Windows\system32\ntsd.exe
规则: [应用程序]?* -> [文件组]《坚固》xp系统exe

2018/6/24 星期日 21:10:09    删除文件 风险提示:敏感    允许
进程: c:\windows\system32\cmd.exe
目标: C:\Users\Administrator\Desktop\ntsd.exe
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

2018/6/24 星期日 21:10:14    创建文件 风险提示:低风险    允许
进程: c:\windows\system32\cmd.exe
目标: D:\MSG.VBS
规则: [应用程序]?:\windows\system32\cmd.exe -> [文件]*

2018/6/24 星期日 21:10:21    创建新进程 风险提示:未知    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\wscript.exe
命令行: "C:\Windows\System32\WScript.exe" "D:\MSG.VBS"
规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\*.exe

2018/6/24 星期日 21:10:29    创建新进程 风险提示:未知    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\netsh.exe
命令行: netsh  firewall set portopening protocol = ALL port = 443 name = 443 mode = DISABLE scope = ALL profile = ALL
规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\*.exe

2018/6/24 星期日 21:10:38    读文件 风险提示:低风险    允许
进程: c:\windows\system32\wscript.exe
目标: D:\MSG.VBS
规则: [应用程序]c:\windows\system32\?script.exe -> [文件]*; *.vbs

2018/6/24 星期日 21:10:38    读文件夹 风险提示:低风险    阻止
进程: c:\windows\system32\netsh.exe
目标: C:\Users\Administrator\Desktop
规则: [应用程序组]→a002_《不受信任组》_潜在不受欢迎的木马病毒 -> [文件组]《坚固》f310_《全盘加固》

2018/6/24 星期日 21:10:38    读文件 风险提示:低风险    阻止
进程: c:\windows\system32\netsh.exe
目标: C:\Windows\System32\sechost.dll
规则: [应用程序组]→a002_《不受信任组》_潜在不受欢迎的木马病毒 -> [文件组]《坚固》f310_《全盘加固》

2018/6/24 星期日 21:10:38    读文件夹 风险提示:低风险    阻止
进程: c:\windows\system32\netsh.exe
目标: C:\Users\Administrator\Desktop
规则: [应用程序组]→a002_《不受信任组》_潜在不受欢迎的木马病毒 -> [文件组]《坚固》f310_《全盘加固》

2018/6/24 星期日 21:10:38    读文件 风险提示:低风险    阻止
进程: c:\windows\system32\netsh.exe
目标: C:\Windows\System32\sechost.dll
规则: [应用程序组]→a002_《不受信任组》_潜在不受欢迎的木马病毒 -> [文件组]《坚固》f310_《全盘加固》

2018/6/24 星期日 21:10:49    创建新进程 风险提示:未知    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\setres.exe
命令行: SETRES  h1920 v1080 b16 f60
规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\*.exe

2018/6/24 星期日 21:10:58    修改注册表值 风险提示:敏感 (2)    阻止
进程: c:\windows\system32\dwm.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\DWM\LastDisqualifiedCompositionSignature
值: 0x001fa400(2073600)
规则: [注册表组]《受保护的注册表》 -> [注册表]*\Software\Microsoft\Windows*\*

帝辛

，就一个. 发表于 2018-6-24 17:04
机器学习杀，什么叫无脑杀？你觉得不行你弄一个机器学习无脑杀来试试

我评价个冰箱我还得会制冷？？
我电脑里大片大片的B杀。我还能不认为这是没用杀？
动不动大片大片B杀。怪我程序多咯？？BD卡巴eset都不杀。怪我误会B杀咯？

帝辛

温馨小屋 发表于 2018-6-24 16:34
什么时候B杀都成无脑杀了？

电脑里大片大片的B杀。，。。BD卡巴ESET都很安静。就诺顿弹窗个没完。而且都是B杀

温馨小屋

帝辛 发表于 2018-6-24 22:58
电脑里大片大片的B杀。，。。BD卡巴ESET都很安静。就诺顿弹窗个没完。而且都是B杀

诺顿的定义比卡巴BD都要严格，换过来大片杀很正常，排除就好了，我前天从BD换到诺顿上来SONAR就杀了3个程序，还有一片Trojan.Gen.2，能说明SONAR是无脑杀吗？你的原因不具有任何说服力，电脑里不规矩的软件多就别用诺顿，不要天天自己以为怎么就怎么

B100D1E55

帝辛 发表于 2018-6-24 22:58
我评价个冰箱我还得会制冷？？
我电脑里大片大片的B杀。我还能不认为这是没用杀？
动不动大片大 ...

哈哈这种表层统计引擎就是这么衰
某些引擎看PE section稍微奇怪一点就敢报，有的厂还真当自己是黄金标准来要求所有开发者按它的规矩走

l10x

mcafee vse8.8

GenericRXDR-IG!2CD16CAD2CE5 (特洛伊)        144ff97b427dfaccb6346bcb4197d76e (MD5)

帝辛

温馨小屋 发表于 2018-6-24 23:41
诺顿的定义比卡巴BD都要严格，换过来大片杀很正常，排除就好了，我前天从BD换到诺顿上来SONAR就杀了3个程 ...

提醒一句：我欢迎交流，不欢迎抬杠。如果硬要抬杠。那没办法。我当做没看见。