楼主: Jerry.Lin
收起左侧

[病毒样本] #PACKAGE 0627

[复制链接]
wangkaka
发表于 2018-6-27 23:59:13 | 显示全部楼层
191196846 发表于 2018-6-27 22:52
应该是有人上报了……

我看多半VT也有了

Attempts to detect Cuckoo Sandbox through the presence of a file。。
@191196846
心醉咖啡
发表于 2018-6-28 02:24:02 | 显示全部楼层
火绒
  1. 病毒库:2018-06-27 14:57
  2. 开始时间:2018-06-28 02:23
  3. 总计用时:00:00:12
  4. 扫描对象:129个
  5. 扫描文件:21个
  6. 发现风险:3个
  7. 已处理风险:3个
  8. 发现系统修复项:0个
  9. 处理系统修复项:0个

  10. 病毒详情

  11. 风险路径:F:\浏览器下载\PACKAGE 0627\0627(1).exe, 病毒名:Trojan/Generic!072502A279D270C9, 病毒ID:[72502a279d270c9], 处理结果:已处理
  12. 风险路径:F:\浏览器下载\PACKAGE 0627\0627(11).exe, 病毒名:Trojan/MSIL.Obfuscated.aw, 病毒ID:[a66b30bf251d9f00], 处理结果:已处理
  13. 风险路径:F:\浏览器下载\PACKAGE 0627\0627(3).exe, 病毒名:HEUR:Trojan/Crypt, 病毒ID:[8cbb994e4aa410b5], 处理结果:已处理
复制代码
Jerry.Lin
 楼主| 发表于 2018-6-28 07:37:33 | 显示全部楼层
wangkaka 发表于 2018-6-27 23:50
@191196846 很不幸让你失望了,基本70%毒都反虚拟机反调试,我这基本玩完了查杀6个。剩余双击及大佬 ...

我建议你以后试毒的话用Hyper-V

你可以看我这次的Pre-Test的结果

小A的IDP发挥了很大的作用,近一半的检测率,可以看出Hyper-V还是被针对较少的,大部分样本都能跑出行为

VMware太普遍了,做个AntiVM其实挺简单的
===========================

你也可以实机装个沙盒呀

像我现在测COMODO VirusScope 都是实机双击,绝大部分也能跑出行为

COMODO 的 Containment妙啊
Jerry.Lin
 楼主| 发表于 2018-6-28 07:40:53 | 显示全部楼层
wangkaka 发表于 2018-6-27 23:59
Attempts to detect Cuckoo Sandbox through the presence of a file。。
@191196846

看来遇到了针对Cuckoo的啊

不过大佬也做了基本的Cloaking
dolphin
发表于 2018-6-28 10:17:20 | 显示全部楼层
费尔v8
扫描启发kill 2x

双击结果
1 触发蓝屏保护(第一次见)阻止
2 启发报木马 删除
3 miss
4 触发蓝屏保护 阻止
5 触发蓝屏保护 阻止
6 触发蓝屏保护 阻止
7 miss
9 触发蓝屏保护 阻止
11 触发蓝屏保护 阻止
12 触发蓝屏保护 阻止
13 启发报病毒 删除
14.15.16.17 miss
18 触发蓝屏保护 阻止
19.20.21 miss
剔除蓝屏保护,4/21

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
空城旧年
发表于 2018-6-28 10:33:31 | 显示全部楼层
360杀毒(20/21) 95%

病毒库版本:2018-06-27 11:29
扫描时间:2018-06-28 10:25:40
扫描用时:00:00:19
扫描类型:自定义扫描
扫描文件总数:465
项目总数:20
清除项目数:20

扫描选项
----------------------
扫描所有文件:是
扫描压缩包:否
发现病毒处理方式:由用户选择处理
扫描磁盘引导区:是
扫描 Rootkit:是
使用云查杀引擎:是
使用QVM人工智能引擎:是
扫描建议修复项:是
常规引擎设置:Avira(小红伞)

扫描内容
----------------------
C:\Documents and Settings\Administrator\桌面\


白名单设置
----------------------


扫描结果
======================
高危风险项
----------------------
C:\Documents and Settings\Administrator\桌面\0627(1).EXE        感染型病毒

(Win32/Trojan.Spy.94c)        已删除
C:\Documents and Settings\Administrator\桌面\0627(10).exe        感染型病毒

(Win32/Backdoor.6e0)        已删除
C:\Documents and Settings\Administrator\桌面\0627(11).exe       

HEUR/QVM03.0.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(12).exe        感染型病毒

(Win32/Trojan.Exploit.890)        已删除
C:\Documents and Settings\Administrator\桌面\0627(13).EXE       

HEUR/QVM19.1.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(14).EXE        感染型病毒(Win32/Trojan.2bb)       

已删除
C:\Documents and Settings\Administrator\桌面\0627(16).EXE       

HEUR/QVM03.0.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(17).EXE        感染型病毒

(Win32/Backdoor.6e0)        已删除
C:\Documents and Settings\Administrator\桌面\0627(18).EXE        感染型病毒(Win32/Trojan.39d)       

已删除
C:\Documents and Settings\Administrator\桌面\0627(19).EXE        感染型病毒(Win32/Trojan.579)       

已删除
C:\Documents and Settings\Administrator\桌面\0627(2).exe       

HEUR/QVM10.2.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(20).EXE       

HEUR/QVM11.1.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(21).EXE       

HEUR/QVM20.1.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(3).exe       

HEUR/QVM03.0.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(4).exe        感染型病毒(Win32/Trojan.7c5)       

已删除
C:\Documents and Settings\Administrator\桌面\0627(5).exe       

HEUR/QVM20.1.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(6).exe       

HEUR/QVM03.0.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(7).exe       

HEUR/QVM42.2.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(9).exe       

HEUR/QVM20.1.1FF5.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\0627(8).exe        后门程序

(Backdoor.Win32.Androm.R)        已删除

15号双击获取账号密码
dg1vg4
发表于 2018-6-28 11:00:30 | 显示全部楼层
本帖最后由 dg1vg4 于 2018-6-28 11:04 编辑

瑞星安全云终端 6/28 10:58
(21/21) 100%
样本果然应该趁热吃


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
hi丶陌生人
发表于 2018-6-28 11:20:28 | 显示全部楼层
火绒      4/21

360tse   无oem引擎    20/21
wangkaka
发表于 2018-6-28 15:03:31 | 显示全部楼层
191196846 发表于 2018-6-28 07:37
我建议你以后试毒的话用Hyper-V

你可以看我这次的Pre-Test的结果

唉,现在的病毒大大的狡猾。全都反虚拟机了。。。我这儿内存太小只有4g,就算用hv虚拟机也没用,我不能给虚拟机分配太大内存。。。我这上面显示病毒检测内存大小,太小的就认为时虚拟环境。
Jerry.Lin
 楼主| 发表于 2018-6-28 15:10:48 | 显示全部楼层
wangkaka 发表于 2018-6-28 15:03
唉,现在的病毒大大的狡猾。全都反虚拟机了。。。我这儿内存太小只有4g,就算用hv虚拟机也没用,我不能给 ...

我1G诶……

如果没跑出行为,IDP怎么会报
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-29 02:54 , Processed in 0.119055 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表