#PACKAGE 0627

wangkaka

191196846 发表于 2018-6-27 22:52
应该是有人上报了……

我看多半VT也有了

Attempts to detect Cuckoo Sandbox through the presence of a file。。
@191196846

心醉咖啡

火绒

1. 病毒库：2018-06-27 14:57
   
2. 开始时间：2018-06-28 02:23
   
3. 总计用时：00:00:12
   
4. 扫描对象：129个
   
5. 扫描文件：21个
   
6. 发现风险：3个
   
7. 已处理风险：3个
   
8. 发现系统修复项：0个
   
9. 处理系统修复项：0个
   
10. 
    
11. 病毒详情
    
12. 
    
13. 风险路径：F:\浏览器下载\PACKAGE 0627\0627(1).exe, 病毒名：Trojan/Generic!072502A279D270C9, 病毒ID：[72502a279d270c9], 处理结果：已处理
    
14. 风险路径：F:\浏览器下载\PACKAGE 0627\0627(11).exe, 病毒名：Trojan/MSIL.Obfuscated.aw, 病毒ID：[a66b30bf251d9f00], 处理结果：已处理
    
15. 风险路径：F:\浏览器下载\PACKAGE 0627\0627(3).exe, 病毒名：HEUR:Trojan/Crypt, 病毒ID：[8cbb994e4aa410b5], 处理结果：已处理
    

复制代码

Jerry.Lin

wangkaka 发表于 2018-6-27 23:50
@191196846 很不幸让你失望了，基本70%毒都反虚拟机反调试，我这基本玩完了查杀6个。剩余双击及大佬 ...

我建议你以后试毒的话用Hyper-V

你可以看我这次的Pre-Test的结果

小A的IDP发挥了很大的作用，近一半的检测率，可以看出Hyper-V还是被针对较少的，大部分样本都能跑出行为

VMware太普遍了，做个AntiVM其实挺简单的
===========================

你也可以实机装个沙盒呀

像我现在测COMODO VirusScope 都是实机双击，绝大部分也能跑出行为

COMODO 的 Containment妙啊

Jerry.Lin

wangkaka 发表于 2018-6-27 23:59
Attempts to detect Cuckoo Sandbox through the presence of a file。。
@191196846

看来遇到了针对Cuckoo的啊

不过大佬也做了基本的Cloaking

dolphin

费尔v8
扫描启发kill 2x

双击结果
1 触发蓝屏保护（第一次见）阻止
2 启发报木马 删除
3 miss
4 触发蓝屏保护 阻止
5 触发蓝屏保护 阻止
6 触发蓝屏保护 阻止
7 miss
9 触发蓝屏保护 阻止
11 触发蓝屏保护 阻止
12 触发蓝屏保护 阻止
13 启发报病毒 删除
14.15.16.17 miss
18 触发蓝屏保护 阻止
19.20.21 miss
剔除蓝屏保护，4/21

空城旧年

360杀毒(20/21) 95%

病毒库版本：2018-06-27 11:29
扫描时间：2018-06-28 10:25:40
扫描用时：00:00:19
扫描类型：自定义扫描
扫描文件总数：465
项目总数：20
清除项目数：20

扫描选项
----------------------
扫描所有文件：是
扫描压缩包：否
发现病毒处理方式：由用户选择处理
扫描磁盘引导区：是
扫描 Rootkit：是
使用云查杀引擎：是
使用QVM人工智能引擎：是
扫描建议修复项：是
常规引擎设置：Avira(小红伞)

扫描内容
----------------------
C:\Documents and Settings\Administrator\桌面\


白名单设置
----------------------


扫描结果
======================
高危风险项
----------------------
C:\Documents and Settings\Administrator\桌面\0627(1).EXE        感染型病毒

(Win32/Trojan.Spy.94c)        已删除
C:\Documents and Settings\Administrator\桌面\0627(10).exe        感染型病毒

(Win32/Backdoor.6e0)        已删除
C:\Documents and Settings\Administrator\桌面\0627(11).exe       

HEUR/QVM03.0.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(12).exe        感染型病毒

(Win32/Trojan.Exploit.890)        已删除
C:\Documents and Settings\Administrator\桌面\0627(13).EXE       

HEUR/QVM19.1.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(14).EXE        感染型病毒(Win32/Trojan.2bb)       

已删除
C:\Documents and Settings\Administrator\桌面\0627(16).EXE       

HEUR/QVM03.0.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(17).EXE        感染型病毒

(Win32/Backdoor.6e0)        已删除
C:\Documents and Settings\Administrator\桌面\0627(18).EXE        感染型病毒(Win32/Trojan.39d)       

已删除
C:\Documents and Settings\Administrator\桌面\0627(19).EXE        感染型病毒(Win32/Trojan.579)       

已删除
C:\Documents and Settings\Administrator\桌面\0627(2).exe       

HEUR/QVM10.2.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(20).EXE       

HEUR/QVM11.1.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(21).EXE       

HEUR/QVM20.1.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(3).exe       

HEUR/QVM03.0.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(4).exe        感染型病毒(Win32/Trojan.7c5)       

已删除
C:\Documents and Settings\Administrator\桌面\0627(5).exe       

HEUR/QVM20.1.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(6).exe       

HEUR/QVM03.0.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(7).exe       

HEUR/QVM42.2.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(9).exe       

HEUR/QVM20.1.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(8).exe        后门程序

(Backdoor.Win32.Androm.R)        已删除

15号双击获取账号密码

dg1vg4

瑞星安全云终端 6/28 10:58
(21/21) 100%
样本果然应该趁热吃

hi丶陌生人

火绒      4/21

360tse   无oem引擎    20/21

wangkaka

191196846 发表于 2018-6-28 07:37
我建议你以后试毒的话用Hyper-V

你可以看我这次的Pre-Test的结果

唉，现在的病毒大大的狡猾。全都反虚拟机了。。。我这儿内存太小只有4g，就算用hv虚拟机也没用，我不能给虚拟机分配太大内存。。。我这上面显示病毒检测内存大小，太小的就认为时虚拟环境。

Jerry.Lin

wangkaka 发表于 2018-6-28 15:03
唉，现在的病毒大大的狡猾。全都反虚拟机了。。。我这儿内存太小只有4g，就算用hv虚拟机也没用，我不能给 ...

我1G诶……

如果没跑出行为，IDP怎么会报