#PACKAGE 0627

显示全部楼层 · 发表于 2018-6-27 20:04:20

本帖最后由 191196846 于 2018-6-27 20:09 编辑

蓝奏

Total : 21

========================================
These products were tested before package released:

Products                                                          Pre-execute Advanced block    Miss       Status

腾讯电脑管家 TecentPCMgr(Chinese)  13                   3                      0                      18          Infected
AVAST! Interent Security                                           11                      8                      2          Infected

Note: Pre-execute includes On-Access scan or exeute scan before malware is running on memory.
      Advanced block includes behavior block or other techiques that successufully terminate running malware.
      Miss includes situations: no any Alert or warning from AV software.
      Status means if there are any malicious items, including processes, images, drivers, autoruns, regs etc., on the current system, the system is infected; otherwise it is clean.

========================================

#勿传VT
#在样本有效期内（24小时），建议无需手动上报样本至厂商，便于其他人测试行为拦截，响应速度等
#样本序号以收集时间顺序排序，越大代表越接近现在时间

回帖格式建议

杀软名称 + 时间
查杀数量+查杀率

例如：
XXX 20:39
Samples(5/10) 50%

显示全部楼层 · 发表于 2018-6-27 21:11:00

本帖最后由 YU2711 于 2018-6-27 21:12 编辑

SEP  Samples (16/21)
Heur.AdvML.A  (15)(17)(20)
Heur.AdvML.B  (8)(11)(13)(16)
Trojan.Gen.2(1)
Packed.Generic.516 (10)
Trojan Horse(14)
Trojan.Emotet!g5(5)(9)
Packed.NSISPacker!g6(7)
Trojan.Trickybot(3)
Trojan.Emotet(18)
Packed.Generic.517(21)
(2)(4)(6)(12)(19)(20)双击
(2)SONAR.Heuristic.159删除挡案
(4)SONAR.Heur.RGC!g298中止程序删除挡案
SONAR.SuspDataRun
(6)SONAR.Heuristic.159手动终止进程  MISS
(12)SONAR.Heuristic.159手动终止进程  MISS
(19)没反应MISS

21:07 Samples (18/21)

显示全部楼层 · 发表于 2018-6-27 21:25:20

21点10分 WD 双击+扫描剩余4个 17/21

无所畏惧的双击

双击7号被阻止无法运行

14号被阻止无法运行

15号被阻止无法运行

20号被阻止无法运行

显示全部楼层 · 发表于 2018-6-27 22:04:32

本帖最后由 wusiyuanjh 于 2018-6-27 22:11 编辑

卡巴是不是有人上报了，这才过一小时扫描就只剩一个15号了

,双击杀掉15号
22:08卡巴21/21

显示全部楼层 · 发表于 2018-6-27 23:50:35

@191196846

很不幸让你失望了，基本70%毒都反虚拟机反调试，我这基本玩完了查杀6个。剩余双击及大佬在线沙盘对比

2号	大佬沙盘跑得出行为，我这跑不出行为，运行闪退。
3号	大佬沙盘跑得出行为，我这跑不出行为，运行闪退。
5号	hips拦截，内置ip黑名单拦截，僵尸网络防护，释放的衍生物遭ams高级内存查杀。
6 号	ams高级内存查杀。
7号	大佬沙盘跑得出行为，我这跑不出行为，运行闪退。
9 号	hips拦截，僵尸网络防护，内置ip黑名单拦截，释放的衍生物遭ams高级内存查杀。
10 号	检测内存是否低判断是否虚拟机，很不幸我的虚拟机内存很低。。检测vm，vb虚拟机。很不幸我是vm虚拟机。。。
12 号	反调试，时区检测，sleep函数等反沙盘虚拟机。。。。
15 号	内置ip黑名单拦截，ams高级内存查杀。
16号	可能没有有害行为。。。
17号	僵尸网络防护。
18号	搜索进程以规避沙箱沙盒虚拟机等。。。。。
19号	检测内存是否低判断是否虚拟机，很不幸我的虚拟机内存很低。。
20号	检测内存是否低判断是否虚拟机，很不幸我的虚拟机内存很低。。 Attempts to detect Cuckoo Sandbox through the presence of a file。。[:01:]
21号	搜索进程以规避沙箱沙盒虚拟机等。。。。。但内置ip黑名单拦截。

2号：

5号：

6号：

9号：

10号：

12号：

15号：

17号：

18号：

20号：

显示全部楼层 · 发表于 2018-6-27 20:25:46

本帖最后由 sololpchina 于 2018-6-27 20:29 编辑

windows defender miss 4x

20：27检测率

Samples(17/21) 81%

显示全部楼层 · 发表于 2018-6-27 20:30:57

scep miss 11个。
修复未统计。

0627(11).exe
0627(13).exe
0627(14).exe
0627(15).exe
0627(17).exe
0627(18).exe
0627(19).exe
0627(20).exe
0627(21).exe
0627(5).exe
0627(9).exe

复制代码

显示全部楼层 · 发表于 2018-6-27 20:33:17

本帖最后由 renyifei 于 2018-6-27 20:36 编辑

ESET20/21=96%
ESET:双击是不可能的，这辈子都不可能双击的,老子能扫描一遍过为啥要双击

日志
正在扫描日志
检测引擎的版本: 17621 (20180627)
日期: 2018-6-27 周三时间: 20:32:15
已扫描的磁盘、文件夹和文件: F:\PACKAGE 0627\
F:\PACKAGE 0627\0627(1).exe - MSIL/Kryptik.OPN 特洛伊木马的变种 - 通过删除清除 [1]
F:\PACKAGE 0627\0627(10).exe - Win32/Injector.DYWP 特洛伊木马的变种 - 通过删除清除 [1]
F:\PACKAGE 0627\0627(11).exe - MSIL/Injector.SHI 特洛伊木马的变种 - 通过删除清除 [1]
F:\PACKAGE 0627\0627(12).exe - MSIL/TrojanDownloader.Agent.ESZ 特洛伊木马的变种 - 通过删除清除 [1]
F:\PACKAGE 0627\0627(13).exe - Win32/Kryptik.FVPB 特洛伊木马的变种 - 通过删除清除 [1]
F:\PACKAGE 0627\0627(14).exe - Win32/PSW.Agent.OEM 特洛伊木马的变种 - 通过删除清除 [1]
F:\PACKAGE 0627\0627(15).exe - Win32/PSW.Fareit.A 特洛伊木马 - 通过删除清除 [1]
F:\PACKAGE 0627\0627(16).exe - Win32/Formbook.AA 特洛伊木马 - 通过删除清除 [1]
F:\PACKAGE 0627\0627(17).exe > NSIS > Script.nsi - Win32/Formbook.AA 特洛伊木马 - 通过删除清除 [1]
F:\PACKAGE 0627\0627(18).exe - Win32/Kryptik.GIFA 特洛伊木马的变种 - 通过删除清除 [1]
F:\PACKAGE 0627\0627(19).exe - Win32/GenKryptik.CDQU 特洛伊木马的变种 - 通过删除清除 [1]
F:\PACKAGE 0627\0627(20).exe - Win32/Kryptik.GIFT 特洛伊木马的变种 - 通过删除清除 [1]
F:\PACKAGE 0627\0627(21).exe - Win32/Emotet.BK 特洛伊木马 - 通过删除清除 [1]
F:\PACKAGE 0627\0627(3).exe - Generik.BUIXBLB 特洛伊木马的变种 - 通过删除清除 [1]
F:\PACKAGE 0627\0627(4).exe - MSIL/Kryptik.MZR 特洛伊木马的变种 - 通过删除清除 [1]
F:\PACKAGE 0627\0627(5).exe - Win32/Kryptik.GIEQ 特洛伊木马的变种 - 通过删除清除 [1]
F:\PACKAGE 0627\0627(6).exe - MSIL/Bladabindi.AS 特洛伊木马 - 通过删除清除 [1]
F:\PACKAGE 0627\0627(7).exe > NSIS > unsocialism.dll - Win32/Injector.DYWK 特洛伊木马 - 通过删除清除 [1]
F:\PACKAGE 0627\0627(8).exe - Win32/Qadars.AT 特洛伊木马的变种 - 通过删除清除 [1]
F:\PACKAGE 0627\0627(9).exe - Win32/Kryptik.GIFN 特洛伊木马的变种 - 通过删除清除 [1]
已扫描的对象数: 39
发现的威胁数: 20
已清除对象数: 20
完成时间: 20:32:50 总扫描时间: 35 秒 (00:00:35)

备注:
[1] 由于对象中仅包含病毒主体，因此已被删除。

显示全部楼层 · 发表于 2018-6-27 20:43:16

卡巴扫描13/21 62%

显示全部楼层 · 发表于 2018-6-27 20:49:30

ELOHIM 发表于 2018-6-27 20:30
scep miss 11个。
修复未统计。

wd不能自动更新呀，刚才更新了下比中午的库多杀了两个

显示全部楼层 · 发表于 2018-6-27 20:55:07

对了楼主你这腾管的数据有点优秀

@191196846

显示全部楼层 · 发表于 2018-6-27 21:02:28

renyifei 发表于 2018-6-27 20:55
对了楼主你这腾管的数据有点优秀
@191196846

一点都不意外

测腾管是最无聊的……等半天行为跑全了都没反应

不过那个“猎景”防御体系的界面做得好好看呀

显示全部楼层 · 发表于 2018-6-27 21:03:34

191196846 发表于 2018-6-27 21:02
一点都不意外

测腾管是最无聊的……等半天行为跑全了都没反应

把本来做技术的钱都做成UI了

[病毒样本] #PACKAGE 0627

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源