#PACKAGE 0702

pal家族

191196846 发表于 2018-7-2 22:31
是诶……我记得好像给出准确报毒名也MISS过……

其实你现在可以拿改Hash的工具改下，改完看看哪些样本 ...

刚才我就试过了，结果是那个工具下载是2kb的压缩包。。。。蛋挞，不是道是不是我这边手机网（没错我在用热点）
的问题

Picca

21:18 begin
扫描16 + 剩下双击
                 1 中途有短暂新建程序到firefox浏览器（？）路径下面，然后外联，然后那个程序就退出了。之后1自身镜像留存于内存，重启消失
                 6 一直弹报错窗口error initializing client app，不得已手动结束
                 8 双击自删除，创建重启也常驻内存的winstrexts.exe，外联24.173.127.246。这和楼主之前抓到的那些银行木马，僵尸网络，是一个家族的，连创建的程序名都没变，创建完就自删除，然后常驻程序就静静的待着，没什么占用，只是外联发点数据，卡巴主防也就没戏
                 11.杀掉回滚
                 15 与8为同一个系列，双击自删除，同样创建重启也常驻内存的winstrexts.exe，外联地址189.197.62.222，并且杀掉之前8的那个  winstrexts.exe
                 18 杀掉回滚，与8为同一个系列，然而这个被主防杀了，这下可好，之前8和15创建的程序由于被替代，这一杀相当于三个都被干掉了,哈哈哈，喧宾夺主，自己被杀
                 19 杀掉回滚，与8为同一个系列，然而这个被主防杀了
                 20 UDS:Trojan.Win32.VBKrypt.zpkg，第一次看到双击报UDS，原来是云端拉黑了，查了一下md5，发现有人上传VT
                 21 创建了一堆外联，弹出一个白窗口，可以直接点退出。这个是啥，PUP？
                 22 UDS:dangerousobject，查了一下VT还没收录这个md5，也就是说这是卡巴从别的地方上传到自动机鉴定的
                 25 UDS:dangerousobject，有人上传了VT
                 26 UDS:dangerousobject，查了一下VT还没收录这个md5，也就是说这是卡巴从别的地方上传到自动机鉴定的
                 27 UDS:dangerousobject，有人上传了VT
                 30 UDS:dangerousobject，查了一下，VT还没收录这个md5，也就是说这是卡巴从别的地方上传到自动机鉴定的
                  后面的全拉黑了，就很无语啦。最好别是论坛里的人上传的VT，不然我画个圈圈诅咒你哦。
               
谈下双击感想，样本8，11，15，18，19都属于楼主之前的那个银行木马家族Trojan-Banker.Win32.Emotet，或者是同一类型的僵尸或者远控木马，都是自删除，然后创建winstrexts.exe，然后外联，然后就躺着，感觉也很醉了。而且可能由于都是一家的缘故，新样本创建的winstrexts.exe会干掉之前样本创建的，也就是说只能同时存在一个这种银行木马或者僵尸远控。卡巴这次的拉黑迅速，算是给了我一点信心吧，才大概一个小时多一点吧。


多说一句，其实卡巴付费版的用户真的也别怕，像这种低权限的银行木马是很难过得了卡巴的安全支付的，只要保证chrome或者FF最新版，在访问网购或者银行网站的时候使用安全支付窗口，开启卡巴的屏幕键盘输密码，一般pws，trojan-banker一类的也就没戏了

pal家族

Karna 发表于 2018-7-2 22:33
21:18 begin
扫描16 + 剩下双击
                 1 中途有短暂新建程序到firefox浏览器（？）路径下面， ...

vt我没传一个，可能是软件自动上传的

Jerry.Lin

pal家族 发表于 2018-7-2 22:32
刚才我就试过了，结果是那个工具下载是2kb的压缩包。。。。蛋挞，不是道是不是我这边手机网（没错我在用 ...

https://bbs.kafan.cn/thread-2126622-2-1.html 倒二楼 也有人反馈压缩包打不开……


https://www.lanzous.com/i1c1z5e

给~

WhiteCruel

ESET 扫描 27/30
剩余12，17，27。

其中27在LiveGrid中显示为危险。

1. D:\PACKAGE 0702\(1).exe - Win32/Spy.Bebloh.O 特洛伊木马 - 扫描完成后再选择处理方式
   
2. D:\PACKAGE 0702\(10).exe - Win32/Kryptik.GIJM 特洛伊木马 的变种 - 扫描完成后再选择处理方式
   
3. D:\PACKAGE 0702\(11).exe - Win32/Kryptik.GIJU 特洛伊木马 的变种 - 扫描完成后再选择处理方式
   
4. D:\PACKAGE 0702\(13).exe - MSIL/Kryptik.OSN 特洛伊木马 的变种 - 扫描完成后再选择处理方式
   
5. D:\PACKAGE 0702\(14).exe - Win32/Injector.DZAB 特洛伊木马 的变种 - 扫描完成后再选择处理方式
   
6. D:\PACKAGE 0702\(15).exe - Win32/Kryptik.GIIZ 特洛伊木马 的变种 - 扫描完成后再选择处理方式
   
7. D:\PACKAGE 0702\(16).exe - MSIL/Kryptik.ONL 特洛伊木马 的变种 - 扫描完成后再选择处理方式
   
8. D:\PACKAGE 0702\(18).exe - Win32/Kryptik.GIJQ 特洛伊木马 的变种 - 扫描完成后再选择处理方式
   
9. D:\PACKAGE 0702\(19).exe - Win32/Emotet.BK 特洛伊木马 - 扫描完成后再选择处理方式
   
10. D:\PACKAGE 0702\(2).exe - Win32/Injector.DYZQ 特洛伊木马 的变种 - 扫描完成后再选择处理方式
    
11. D:\PACKAGE 0702\(20).exe - Win32/Injector.DYZT 特洛伊木马 的变种 - 扫描完成后再选择处理方式
    
12. D:\PACKAGE 0702\(21).exe - Win32/QQWare.AA 特洛伊木马 的变种 - 扫描完成后再选择处理方式
    
13. D:\PACKAGE 0702\(22).exe - Win32/GenKryptik.CEBL 特洛伊木马 的变种 - 扫描完成后再选择处理方式
    
14. D:\PACKAGE 0702\(23).exe - Win32/Injector.DYZT 特洛伊木马 的变种 - 扫描完成后再选择处理方式
    
15. D:\PACKAGE 0702\(24).exe - Win32/Injector.DYZQ 特洛伊木马 的变种 - 扫描完成后再选择处理方式
    
16. D:\PACKAGE 0702\(25).exe - Suspicious Object - 扫描完成后再选择处理方式
    
17. D:\PACKAGE 0702\(26).exe - Win32/Kryptik.GIKA 特洛伊木马 的变种 - 扫描完成后再选择处理方式
    
18. D:\PACKAGE 0702\(28).exe - Win32/Kryptik.GIJM 特洛伊木马 的变种 - 扫描完成后再选择处理方式
    
19. D:\PACKAGE 0702\(29).exe - Win32/Injector.DYZQ 特洛伊木马 的变种 - 扫描完成后再选择处理方式
    
20. D:\PACKAGE 0702\(3).exe - Win32/Injector.DYZQ 特洛伊木马 的变种 - 扫描完成后再选择处理方式
    
21. D:\PACKAGE 0702\(30).exe - Win32/PSW.Fareit.L 特洛伊木马 - 扫描完成后再选择处理方式
    
22. D:\PACKAGE 0702\(4).exe - Win32/Injector.DYZQ 特洛伊木马 的变种 - 扫描完成后再选择处理方式
    
23. D:\PACKAGE 0702\(5).exe - MSIL/Injector.TSI 特洛伊木马 的变种 - 扫描完成后再选择处理方式
    
24. D:\PACKAGE 0702\(6).exe - Win32/Kryptik.GIJH 特洛伊木马 的变种 - 扫描完成后再选择处理方式
    
25. D:\PACKAGE 0702\(7).exe - MSIL/TrojanDropper.Agent.DVK 特洛伊木马 的变种 - 扫描完成后再选择处理方式
    
26. D:\PACKAGE 0702\(8).exe - Win32/Kryptik.GIJI 特洛伊木马 的变种 - 扫描完成后再选择处理方式
    
27. D:\PACKAGE 0702\(9).exe - Suspicious Object - 扫描完成后再选择处理方式
    
28. 已扫描的对象数: 30
    
29. 发现的威胁数: 27
    
30. 已清除对象数: 27
    

复制代码

双击

12：触发AMS

1. http://blaztech.us/.es/image/fre.php;被内部黑名单阻止;C:\Users\admin\Desktop\PACKAGE 0702\(12).exe;WIN-6IFN7FH5R7B\admin;84.38.130.118;C46F336B0B28FBCD0933165856A5F8B6DA25F8F5
   
2. 已检测到可疑的僵尸网络;192.168.128.155:49321;84.38.130.118:80;TCP;Win32/Fareit;C:\Users\admin\Desktop\PACKAGE 0702\(12).exe;WIN-6IFN7FH5R7B\admin
   
3. 高级内存扫描程序;文件;系统内存 > C:\Users\admin\Desktop\PACKAGE 0702\(12).exe;Win32/PSW.Fareit.L 特洛伊木马 的变种;通过删除清除;WIN-6IFN7FH5R7B\admin;;C46F336B0B28FBCD0933165856A5F8B6DA25F8F5;

复制代码

17：自删，触发HIPS(智能模式）拦截注册表操作，似乎没有后续动作了，不知防御成功没有...

1. C:\Windows\System32\svchost.exe;获取其他应用程序的访问权;C:\Windows\System32\winlogon.exe;已阻止;自我保护: 不允许修改系统进程;修改其他应用程序的状态

复制代码

27号目测反虚拟机，运行几秒后自退。实机不敢测

pal家族

191196846 发表于 2018-7-2 22:38
https://bbs.kafan.cn/thread-2126622-2-1.html 倒二楼 也有人反馈压缩包打不开……

刚才提示我chinanet时长到了。。。。。。我得紧急下机。。

Jerry.Lin

Karna 发表于 2018-7-2 22:33
21:18 begin
扫描16 + 剩下双击
                 1 中途有短暂新建程序到firefox浏览器（？）路径下面， ...

21 -  Win32/QQWare.AA

看报毒名应该是盗号的

Jerry.Lin

WhiteCruel 发表于 2018-7-2 22:43
ESET 27/30

剩余样本有哪些呢？

WhiteCruel

191196846 发表于 2018-7-2 22:47
剩余样本有哪些呢？

忘记写了，12，17，27

其中27在LiveGrid显示为危险了

Jerry.Lin

WhiteCruel 发表于 2018-7-2 22:48
忘记写了，12，17，27

好的，我看下
确认没有白文件