#PACKAGE 0629

pal家族

楼主这两天的样本有都很神奇啊
几乎都是banker psw backdoor
这类东西最会装死了

fzshot

Avira 26/27 96.30%

Miss 0629(1).exe

Jirehlov1234

Avira 5:57

26/27

0629(2).exe TR/Crypt.Agent.felae
0629(3).exe TR/Crypt.Agent.vjzxz
0629(4).exe TR/Dldr.Zurgop.kaqej
0629(5).exe TR/Crypt.ZPACK.c54831
0629(6).exe TR/AD.Fareit.Y
0629(7).exe TR/AD.Fareit.Y
0629(8).exe TR/Kryptik.euklq
0629(9).exe TR/Dropper.a9acbd
0629(10).exe TR/AD.Emotet.bfsca
0629(11).exe TR/Crypt.Agent.symgb
0629(12).exe TR/Injector.bfgfa
0629(13).exe TR/AD.Emotet.B
0629(14).exe TR/AD.LokiBot.B
0629(15).exe TR/AD.Emotet.B
0629(16).exe TR/Dropper.VB.409343
0629(17).exe TR/TrickBot.mmuux
0629(18).exe TR/AD.Emotet.B
0629(19).exe TR/Dropper.Gen
0629(20).exe TR/AD.Ursnif.Y
0629(21).exe TR/Crypt.EPACK.Gen2
0629(22).exe TR/AD.Emotet.B
0629(23).exe TR/AD.Ursnif.Y
0629(24).exe TR/Crypt.XPACK.Gen7
0629(25).exe TR/AD.Emotet.B
0629(26).exe TR/AD.Emotet.B
0629(27).exe TR/Dropper.MSIL.Gen

某些报法出镜率有点高啊

果团团

BD 26/27
MISS  0629(21)

dolphin

费尔锁库测试
扫描 9/27

双击情况
1 报植入型木马
4.9.20 miss
6.12.16 ELEctrum遇到问题需要关闭 无法运行
13.15.18.19.22.25.26 无法定位程序输入点getThreadId 无法运行（应该是同一类）
19 初始化失败 无法运行
21 报病毒
24 报病毒
23.27 不是有效的win32程序 无法运行
很多都运行不了啊
剔除相关文件 12/27

Jerry.Lin

dolphin 发表于 2018-6-30 11:03
费尔锁库测试
扫描 9/27

XP..... 现在连毒都不支持了

hi丶陌生人

火绒      2/27

360tse        26/27

諾言敵不過時間

360TS
Samples(25/27) 92.6%

1. 360安全衛士掃描日誌
   
2. 
   
3. 掃描時間：2018-06-30 12:35:21
   
4. 掃描用時：00:00:49
   
5. 掃描項目總數：5691
   
6. 找到威脅：25
   
7. 處理威脅：25
   
8. 
   
9. 掃描選項
   
10. ----------------------
    
11. 掃描壓縮檔：是
    
12. 常規引擎設置：Bitdefender引擎, 小紅傘引擎
    
13. 
    
14. 掃描內容
    
15. ----------------------
    
16. C:\Users\Ari\Desktop\惡意程式\
    
17. 
    
18. 掃描結果
    
19. ======================
    
20. 高風險項目
    
21. ----------------------
    
22. C:\Users\Ari\Desktop\惡意程式\0629(1).exe        HEUR/QVM10.2.2B3F.Malware.Gen        已處理
    
23. C:\Users\Ari\Desktop\惡意程式\0629(10).exe        Win32/Trojan.c84        已處理
    
24. C:\Users\Ari\Desktop\惡意程式\0629(11).exe        Win32/Trojan.4dd        已處理
    
25. C:\Users\Ari\Desktop\惡意程式\0629(12).exe        Win32/Trojan.afc        已處理
    
26. C:\Users\Ari\Desktop\惡意程式\0629(13).exe        HEUR/QVM20.1.2C01.Malware.Gen        已處理
    
27. C:\Users\Ari\Desktop\惡意程式\0629(14).exe        HEUR/QVM41.2.2E99.Malware.Gen        已處理
    
28. C:\Users\Ari\Desktop\惡意程式\0629(15).exe        Win32/Trojan.198        已處理
    
29. C:\Users\Ari\Desktop\惡意程式\0629(16).exe        Win32/Trojan.Spy.fb2        已處理
    
30. C:\Users\Ari\Desktop\惡意程式\0629(17).exe        Win32/Trojan.BO.7fe        已處理
    
31. C:\Users\Ari\Desktop\惡意程式\0629(18).exe        Win32/Trojan.c84        已處理
    
32. C:\Users\Ari\Desktop\惡意程式\0629(19).exe        Win32/Trojan.5a4        已處理
    
33. C:\Users\Ari\Desktop\惡意程式\0629(2).exe        HEUR/QVM20.1.2E99.Malware.Gen        已處理
    
34. C:\Users\Ari\Desktop\惡意程式\0629(20).exe        HEUR/QVM10.2.2C01.Malware.Gen        已處理
    
35. C:\Users\Ari\Desktop\惡意程式\0629(25).exe        HEUR/QVM20.1.2E99.Malware.Gen        已處理
    
36. C:\Users\Ari\Desktop\惡意程式\0629(24).exe        Win32/Trojan.cb1        已處理
    
37. C:\Users\Ari\Desktop\惡意程式\0629(22).exe        HEUR/QVM20.1.2E99.Malware.Gen        已處理
    
38. C:\Users\Ari\Desktop\惡意程式\0629(26).exe        Win32/Trojan.347        已處理
    
39. C:\Users\Ari\Desktop\惡意程式\0629(27).exe        HEUR/QVM03.0.2D31.Malware.Gen        已處理
    
40. C:\Users\Ari\Desktop\惡意程式\0629(3).exe        HEUR/QVM20.1.2E99.Malware.Gen        已處理
    
41. C:\Users\Ari\Desktop\惡意程式\0629(4).exe        Win32/Trojan.2ff        已處理
    
42. C:\Users\Ari\Desktop\惡意程式\0629(5).exe        HEUR/QVM20.1.2E99.Malware.Gen        已處理
    
43. C:\Users\Ari\Desktop\惡意程式\0629(6).exe        HEUR/QVM03.0.2E99.Malware.Gen        已處理
    
44. C:\Users\Ari\Desktop\惡意程式\0629(7).exe        HEUR/QVM05.1.2E99.Malware.Gen        已處理
    
45. C:\Users\Ari\Desktop\惡意程式\0629(8).exe        Win32/Trojan.c84        已處理
    
46. C:\Users\Ari\Desktop\惡意程式\0629(9).exe        Win32/Backdoor.6e0        已處理
    
47. 
    

复制代码

dolphin

191196846 发表于 2018-6-30 11:09
XP..... 现在连毒都不支持了

本看中xp的漏洞多的 看来要换个系统再玩了。。

swizzer

360卫士
26/27，余21.exe



double click with malware defender:2018\6\30 星期六 16:05:13    创建文件夹    允许
进程: d:\$$a secret area\virus\0629(21).exe
目标: C:\Users\Administrator\AppData\Roaming\pbrswortzi
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2018\6\30 星期六 16:05:17    创建文件    允许
进程: d:\$$a secret area\virus\0629(21).exe
目标: C:\Users\Administrator\AppData\Roaming\pbrswortzi\Java.exe
规则: [应用程序组]『询问』病毒测试 -> [文件组]全局高危文件

2018\6\30 星期六 16:05:18    修改文件    允许
进程: d:\$$a secret area\virus\0629(21).exe
目标: C:\Users\Administrator\AppData\Roaming\pbrswortzi\Java.exe
规则: [应用程序组]『询问』病毒测试 -> [文件组]全局高危文件

2018\6\30 星期六 16:05:18    修改注册表值    阻止
进程: d:\$$a secret area\virus\0629(21).exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Roaming
值: C:\Users\Administrator\AppData\Roaming\pbrswortzi\Java.exe
规则: [应用程序组]『询问』病毒测试 -> [注册表组]自动运行 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Run*

2018\6\30 星期六 16:05:29    创建新进程    阻止
进程: d:\$$a secret area\virus\0629(21).exe
目标: c:\windows\system32\schtasks.exe
命令行: C:\Windows\system32\schtasks.exe /create /tn pesjnrjagl /tr C:\Users\Administrator\AppData\Roaming\pbrswortzi\Java.exe /sc minute /mo 1
规则: [应用程序组]『询问』病毒测试

2018\6\30 星期六 16:05:33    创建文件    允许
进程: d:\$$a secret area\virus\0629(21).exe
目标: C:\Users\Administrator\AppData\Local\Temp\AgencyATQ020058_FIU.Referral.High.Risk_6.20.18 (1).xls
规则: [应用程序组]『询问』病毒测试 -> [文件组]Temp缓存 -> [文件]*\temp\*

2018\6\30 星期六 16:05:37    创建新进程    阻止
进程: d:\$$a secret area\virus\0629(21).exe
目标: c:\program files\office2007\excel.exe
命令行: "C:\Program Files\Office2007\EXCEL.EXE" "C:\Users\ADMINI~1\AppData\Local\Temp\AgencyATQ020058_FIU.Referral.High.Risk_6.20.18 (1).xls"
规则: [应用程序组]『询问』病毒测试
看起来有多种攻击方式