收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 #PACKAGE 0702
1234567下一页
返回列表 发新帖
查看: 5912|回复: 63
收起左侧

[病毒样本] #PACKAGE 0702

  [复制链接]
Jerry.Lin
发表于 2018-7-2 20:29:13 | 显示全部楼层 |阅读模式
本帖最后由 191196846 于 2018-7-2 20:40 编辑

蓝奏

Total : 30

========================================
These products were tested before package released:

Products                            Pre-execute    Advanced block     Miss         Status

火绒互联网安全软件                    6                         2                     22             Infected
Dr.Web Security Space             13                        10                     7            Infected    // DPD,DPH表现不错


Note: Pre-execute includes On-Access scan or exeute scan before malware is running on memory.
          Advanced block includes behavior block or other techiques that successufully terminate running malware.
          Miss includes situations: no any Alert or warning from AV software.
          Status means if there are any malicious items, including processes, images, drivers, autoruns, regs etc., on the current system, the system is infected; otherwise it is clean.

========================================
第一期视频出炉啦~  https://bbs.kafan.cn/thread-2126639-1-1.html

Windows Defender & 360杀毒                       恶意软件防护测试

第一次测试还有些问题,希望大家多多支持啦
========================================


#勿传VT
#在样本有效期内(24小时),建议无需手动上报样本至厂商,便于其他人测试行为拦截,响应速度等
#样本序号以收集时间顺序排序,越大代表越接近现在时间


回帖格式建议

杀软名称 + 时间
查杀数量+查杀率


例如:
XXX 20:39
Samples(5/10) 50%

评分

参与人数 1人气 +1 收起 理由
petr0vic + 1 版区有你更精彩: )

查看全部评分

回复

举报

,就一个.
发表于 2018-7-2 21:24:13 | 显示全部楼层
本帖最后由 ,就一个. 于 2018-7-3 00:03 编辑

WD 25/30 83%剩余1 3 6 22 30 五个样本双击WD阻止运行   更新23.58分 WD剩余双击全云杀


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Picca
发表于 2018-7-2 22:33:20 | 显示全部楼层
本帖最后由 Karna 于 2018-7-3 00:52 编辑

21:18 begin
扫描16 + 剩下双击
                 1 中途有短暂新建程序到firefox浏览器(?)路径下面,然后外联,然后那个程序就退出了。之后1自身镜像留存于内存,重启消失
                 6 一直弹报错窗口error initializing client app,不得已手动结束
                 8 双击自删除,创建重启也常驻内存的winstrexts.exe,外联24.173.127.246。这和楼主之前抓到的那些银行木马,僵尸网络,是一个家族的,连创建的程序名都没变,创建完就自删除,然后常驻程序就静静的待着,没什么占用,只是外联发点数据,卡巴主防也就没戏
                 11.杀掉回滚
                 15 与8为同一个系列,双击自删除,同样创建重启也常驻内存的winstrexts.exe,外联地址189.197.62.222,并且杀掉之前8的那个  winstrexts.exe
                 18 杀掉回滚,与8为同一个系列,然而这个被主防杀了,这下可好,之前8和15创建的程序由于被替代,这一杀相当于三个都被干掉了,哈哈哈,喧宾夺主,自己被杀
                 19 杀掉回滚,与8为同一个系列,然而这个被主防杀了
                 20 UDS:Trojan.Win32.VBKrypt.zpkg,第一次看到双击报UDS,原来是云端拉黑了,查了一下md5,发现有人上传VT
                 21 创建了一堆外联,弹出一个白窗口,可以直接点退出。这个是啥,PUP?
                 22 UDS:dangerousobject,查了一下VT还没收录这个md5,也就是说这是卡巴从别的地方上传到自动机鉴定的
                 25 UDS:dangerousobject,有人上传了VT
                 26 UDS:dangerousobject,查了一下VT还没收录这个md5,也就是说这是卡巴从别的地方上传到自动机鉴定的
                 27 UDS:dangerousobject,有人上传了VT
                 30 UDS:dangerousobject,查了一下,VT还没收录这个md5,也就是说这是卡巴从别的地方上传到自动机鉴定的
                  后面的全拉黑了,就很无语啦。最好别是论坛里的人上传的VT,不然我画个圈圈诅咒你哦。
               
谈下双击感想,样本8,11,15,18,19都属于楼主之前的那个银行木马家族Trojan-Banker.Win32.Emotet,或者是同一类型的僵尸或者远控木马,都是自删除,然后创建winstrexts.exe,然后外联,然后就躺着,感觉也很醉了。而且可能由于都是一家的缘故,新样本创建的winstrexts.exe会干掉之前样本创建的,也就是说只能同时存在一个这种银行木马或者僵尸远控。卡巴这次的拉黑迅速,算是给了我一点信心吧,才大概一个小时多一点吧。


多说一句,其实卡巴付费版的用户真的也别怕,像这种低权限的银行木马是很难过得了卡巴的安全支付的,只要保证chrome或者FF最新版,在访问网购或者银行网站的时候使用安全支付窗口,开启卡巴的屏幕键盘输密码,一般pws,trojan-banker一类的也就没戏了


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3人气 +3 收起 理由
dongwenqi + 1 感谢解答: )
dreams521 + 1 感谢支持,欢迎常来: )
Jerry.Lin + 1 版区有你更精彩: )

查看全部评分

回复

举报

dg1vg4
发表于 2018-7-2 20:38:58 | 显示全部楼层
本帖最后由 dg1vg4 于 2018-7-2 20:53 编辑

这个玩具还真有意思。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

真小读者
发表于 2018-7-2 20:42:49 | 显示全部楼层
趋势7X
回复

举报

zhoutaoyu
发表于 2018-7-2 20:52:51 | 显示全部楼层
20180702 20:50
Norton for Mac扫描:21/30,70%

剩余截图:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

petr0vic
发表于 2018-7-2 21:02:34 | 显示全部楼层
Emsisoft
18/30

  1. (1).exe          Trojan.GenericKD.31034809 (B) [krnl.xmd]
  2. (10).exe          Trojan.GenericKD.31034792 (B) [krnl.xmd]
  3. (14).exe          Trojan.Injector (A) [294509]
  4. (15).exe          Trojan.Emotet (A) [294457]
  5. (13).exe          Gen:Variant.Razy.355551 (B) [krnl.xmd]
  6. (19).exe          Trojan.Emotet (A) [294507]
  7. (2).exe          Trojan.Injector (A) [294508]
  8. (20).exe          Trojan.Injector (A) [294510]
  9. (17).exe          DeepScan:Generic.Malware.SPVPk.15A0CDC2 (B) [krnl.xmd]
  10. (23).exe          Trojan.Injector (A) [294510]
  11. (24).exe          Trojan.Injector (A) [294508]
  12. (22).exe          Trojan.GenericKD.31035342 (B) [krnl.xmd]
  13. (29).exe          Trojan.Injector (A) [294508]
  14. (3).exe          Trojan.Agent.DAVQ (B) [krnl.xmd]
  15. (21).exe          Gen:Variant.Graftor.133818 (B) [krnl.xmd]
  16. (4).exe          Trojan.Agent.DAVQ (B) [krnl.xmd]
  17. (7).exe          Trojan.GenericKD.31034171 (B) [krnl.xmd]
  18. (8).exe          Trojan.Emotet (A) [294457]
复制代码


回复

举报

ELOHIM
发表于 2018-7-2 21:15:41 | 显示全部楼层
scep 7/30 21:15

What's happened?
回复

举报

pal家族
发表于 2018-7-2 21:20:34 | 显示全部楼层
dg1vg4 发表于 2018-7-2 20:38
这个玩具还真有意思。

你忘记了世界上还有误报率这个东西
回复

举报

WHALE-FALL
发表于 2018-7-2 21:25:05 | 显示全部楼层
ccav 0/30
360 26/30
回复

举报

ELOHIM
发表于 2018-7-2 21:25:32 | 显示全部楼层
,就一个. 发表于 2018-7-2 21:24
WD 25/30 83%剩余1 3 6 22 30 五个样本双击WD阻止运行

NICE 感觉有点6了。
你的WD是什么版本来着?
回复

举报

下一页 »
1234567下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-1 02:35 , Processed in 0.128301 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表