#PACKAGE 0718

Jerry.Lin

蓝奏



Total : 33


#勿传VT
#在样本有效期内（24小时），建议无需手动上报样本至厂商，便于其他人测试行为拦截，响应速度等
#样本序号以收集时间顺序排序，越大代表越接近现在时间




回帖格式建议

杀软名称 + 时间
查杀数量+查杀率


例如：
XXX 20:39
Samples(5/10) 50%


==============
前面有一份手误没改Hash

renyifei

ESET32/33=96% 19.22
日志

检测引擎的版本: 17733 (20180718)
日期: 2018-7-18-周三  时间: 19:20:39
已扫描的磁盘、文件夹和文件: D:\病毒样本\
D:\病毒样本\0718(1).exe - Win32/TrickBot.AX 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\0718(10).exe - Win32/GenKryptik.CFOG 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(11).exe - Win32/Injector.DZHM 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(12).exe - Win32/Injector.DZHO 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(13).exe - Win32/Kryptik.GIWT 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(14).exe - MSIL/Kryptik.OXV 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(15).exe - Win32/Kryptik.GIYB 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(16).exe - MSIL/Kryptik.OXV 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(17).exe > UPX v13_m8 - Win32/PSW.Fareit.A 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\0718(17).exe > AUTOIT > script.bin - Win32/Autoit.CW 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(18).exe - Win32/Injector.DZHM 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(19).exe - Win32/Injector.DZHM 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(2).exe - Win32/Kryptik.GIXF 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(20).exe - Win32/Injector.DZHM 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(21).exe - Win32/Kryptik.GIWC 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(23).exe - Win32/Injector.DZHM 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(24).exe - Win32/Injector.DZGX 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(25).exe - Win32/Injector.DZGX 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(26).exe - Win32/GenKryptik.CFOG 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(27).exe - Win32/Injector.DZHF 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(28).exe - Win32/Injector.DZBB 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(29).exe - MSIL/Kryptik.OYG 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(3).exe - Win32/RemoteAdmin.Ammyy.H 潜在的不安全应用程序 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(30).exe - Win32/Injector.DZHM 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(31).exe - Win32/Injector.DZHF 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(32).exe - MSIL/TrojanDropper.Agent.DUU 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(33).exe - Win32/Injector.DZHO 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(4).exe - Win32/GenKryptik.CFJI 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(5).exe > AUTOIT > script.bin - Win32/Injector.Autoit.DCM 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(6).exe - Win32/Injector.DZHF 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(7).exe - Win32/Kryptik.GIYA 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(8).exe - Win32/Kryptik.GIWT 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0718(9).exe - MSIL/Packed.Confuser.J 可疑应用程序 的变种 - 通过删除清除 [1]
已扫描的对象数: 36
发现的威胁数: 33
已清除对象数: 33
完成时间: 19:21:24  总扫描时间: 45 秒 (00:00:45)

备注:
[1] 由于对象中仅包含病毒主体，因此已被删除。
22号ESET交互模式干掉，创建了进程，ESET提示并选择拦截

Jirehlov1234

KIS19a (Shadow Defender) (AC off)

扫描20/33+双击3/33=23/33

1 调用的 c:\windows\syswow64\dllhost.exe PDM:Exploit.Win32.Generic
调用的 c:\windows\system32\svchost.exe PDM:Exploit.Win32.Generic
本体 PDM:Exploit.Win32.Generic
2 自退出
3 常驻进程（3分钟内）
4 Trojan.Win32.Khalesi.gng
5 创建两次出站链接后退出
Microsoft .NET Services Installation Utility  TCP  173.242.125.75  7241  192.168.0.107  2113
Microsoft .NET Services Installation Utility  TCP  173.242.125.75  7241  192.168.0.107  2116
6 HEUR:Trojan.Win32.Agent.gen
7 自退出
8 PDM:Trojan.Win32.Badur.a 不需要重启
9 HEUR:Backdoor.Win32.Agent.gen
10 Trojan.Win32.VBKrypt.zqry
11 HEUR:Trojan.Win32.Agent.gen
12 Trojan.Win32.VBKrypt.zqrt
13 常驻进程（3分钟内）
14 HEUR:Trojan.Win32.Generic
15 PDM:Trojan.Win32.Generic 不需要重启 并回滚
16 HEUR:Trojan.Win32.Generic
17 //script.au3//JIM Trojan-Spy.PowerShell.KeyLogger.c
18 HEUR:Trojan.Win32.Agent.gen
19 HEUR:Trojan.Win32.Agent.gen
20 HEUR:Trojan.Win32.Agent.gen
21 常驻进程（3分钟内）
22 创建两次出站链接后退出
Microsoft .NET Services Installation Utility  TCP  173.242.125.75  7241  192.168.0.107  2342
Microsoft .NET Services Installation Utility  TCP  173.242.125.75  7241  192.168.0.107  2339
22 自退出
23 HEUR:Trojan.Win32.Agent.gen
24 HEUR:Trojan.Win32.Agent.gen
25 HEUR:Trojan.Win32.Agent.gen
26 Backdoor.MSIL.NanoBot.afyb
27 HEUR:Trojan.Win32.Agent.gen
28 自退出
29 常驻进程（3分钟内）
30 HEUR:Trojan.Win32.Agent.gen
31 HEUR:Trojan.Win32.Agent.gen
32 HEUR:Trojan.Win32.Generic
33 自退出

wangkaka

avast   22/33=66.7%
双击：5号：deepscreen15秒扫描拦截
9号：deepscreen15秒扫描拦截
10号：idp拦截衍生物，威胁排除。idp回滚母体。
13号：deepscreen15秒扫描拦截
22号：deepscreen15秒扫描拦截
24号：deepscreen15秒扫描拦截
25号：deepscreen15秒扫描拦截
26号；idp拦截
28号：deepscreen15秒扫描拦截
32号：文件监控拦截衍生物，母体退出（已入库衍生物）。
33号：自删除，然后退出，然后没有反映了。。。。


@191196846
1.其实世人只知道有idp，完全不知avast依然在不断发展deepscreen，甚至强悍如斯
2.我记得以前你问过我idp问题，截图里面idp的报法就是本地idp，如果是云端规则，idp报法就是IDP.Generic.XXXXX(XXXX指字母数字)，第二幅图中IDP.ALEXA.51也是本地报法，而且不是已知威胁报法。3.IDP分为已知IDP，云端IDP和本地离线启发式IDP报法三种。

275751198

6楼好像是开小红伞了，我这里没开小红伞没开BD

360杀毒扫描日志

病毒库版本：
扫描时间：2018-07-18 20:06:57
扫描用时：00:00:03
扫描类型：右键扫描
扫描文件总数：33
项目总数：28
清除项目数：28

扫描选项
----------------------
扫描所有文件：是
扫描压缩包：是
发现病毒处理方式：由用户选择处理
扫描磁盘引导区：是
扫描 Rootkit：是
使用云查杀引擎：是
使用QVM人工智能引擎：是
扫描建议修复项：是
常规引擎设置：未使用

扫描内容
----------------------
D:\360极速浏览器下载\PACKAGE 0718


白名单设置
----------------------


扫描结果
======================
高危风险项
----------------------
D:\360极速浏览器下载\PACKAGE 0718\0718(12).exe        HEUR/QVM03.0.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(14).exe        HEUR/QVM03.0.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(11).exe        HEUR/QVM05.1.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(10).exe        HEUR/QVM03.0.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(15).exe        HEUR/QVM10.2.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(18).exe        HEUR/QVM05.1.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(19).exe        HEUR/QVM05.1.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(2).exe        HEUR/QVM20.1.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(20).exe        HEUR/QVM05.1.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(21).exe        HEUR/QVM20.1.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(22).exe        HEUR/QVM20.1.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(23).exe        HEUR/QVM05.1.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(17).exe        HEUR/QVM11.1.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(25).exe        HEUR/QVM15.0.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(26).exe        HEUR/QVM03.0.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(27).exe        HEUR/QVM05.1.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(24).exe        HEUR/QVM15.0.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(29).exe        HEUR/QVM03.0.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(16).exe        HEUR/QVM03.0.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(28).exe        HEUR/QVM20.1.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(30).exe        HEUR/QVM05.1.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(31).exe        HEUR/QVM05.1.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(4).exe        HEUR/QVM03.0.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(5).exe        HEUR/QVM10.2.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(6).exe        HEUR/QVM05.1.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(7).exe        HEUR/QVM20.1.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(33).exe        HEUR/QVM03.0.95DB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0718\0718(9).exe        HEUR/QVM03.0.95DB.Malware.Gen        已删除

剩余5个，分别是1、3、8、13、32号，挨个在沙箱里运行


然后实机以及沙箱内的样本纷纷报毒，我觉得应该是云响应，尚未触发主防




最后这5个目前都已被删了，文件夹已空。云响应挺快的。

ccboxes

BD2019  07.18 23:30

扫描：30/33 91%

剩余13、14、29

双击全杀

总计  33/33 100%

PS：跟2小时前的EMIS对照来看，扫描多杀的基本都是云杀，有几个TrojanGenericKD系列的也有了分类，看来BD系的样本是互通有无的，而BD自身的云也在进步。

PPS：BD的云检测确定有一定的抗混淆能力。而且最近逐渐开始有存在感的Gen.Heur也是云检测。
对云杀的几个样本再次处理，发现仍然能检测但报法出现变化。
比如
24号
处理前Gen:Suspicious.Cloud.8.7OXaaCgheUkk
处理后Gen:Suspicious.Cloud.8.7OXaaa5Azwgk
26号
处理前Gen:Suspicious.Cloud.8.Zm1@am45cDci
处理后Gen:Trojan.Heur.VP2.Zm1@a4xNAtni

Kaspersky用户

Avira监控杀5个，右键扫描多杀6个，并触发了APC。

10分钟后再测，监控+扫描33/33。

天使的愤怒

360杀毒 29/33=88%
开启了小红伞引擎，但大多数都是QVM报毒查杀。

病毒探索者

趋势 4/33 12.1%

command360

火绒 4/33（12.1%）

杀7、15、17、21

zhoutaoyu

20180718 20:20
Norton for Mac右键扫描：29/33  88%
剩余截图：