收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 掛馬樣本包(3X) #0719
返回列表 发新帖
查看: 2126|回复: 9
收起左侧

[病毒样本] 掛馬樣本包(3X) #0719

[复制链接]
Agu
发表于 2018-7-19 18:04:25 | 显示全部楼层 |阅读模式
本帖最后由 Agu 于 2018-7-19 18:39 编辑

server.exe
掛馬網址:newskyinternational.com/server.exe
VT(31/68):https://www.virustotal.com/#/fil ... ac9aba20d/detection

serverx.exe
掛馬網址:newskyspaces.us/serverx.exe
VT(27/66):https://www.virustotal.com/#/fil ... 4aec9b5e0/detection

Setup3.exe
掛馬網址:oleopene.com/Setup3.exe
VT(18/66):https://www.virustotal.com/#/fil ... 99c55696a/detection

樣本載點(密碼infected):
(主要)https://we.tl/GHM1qppASq
(備用)https://sendit.cloud/kiqaagxnaghs
(備用2)https://1.bitsend.jp/download/01 ... .html?setLang=zh-tw

測試:
Malwarebytes - 2X


360國際版 - 3X

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Jirehlov1234
发表于 2018-7-19 18:10:49 | 显示全部楼层
本帖最后由 Jirehlov1234 于 2018-7-19 18:26 编辑

BD19

URL
hxxp://newskyinternational.com/server.exe
Gen:Variant.Razy.360881

hxxp://newskyspaces.us/serverx.exe
Gen:Variant.Razy.362852

hxxp://oleopene.com/Setup3.exe
OTP拦截但没有报法

样本
server.exe
Gen:Variant.Razy.360881

serverx.exe
Gen:Variant.Razy.362852

Setup3.exe双击
Online Threat Prevention
We blocked this dangerous page for your protection:
hxxp://101.96.10.74/crl.verisign.com/pca3.crl
Accessed by: svchost.exe
Dangerous pages attempt to install software that can harm the device, gather personal information or operate without your consent.




回复

举报

小坏爷
发表于 2018-7-19 18:19:27 | 显示全部楼层
本帖最后由 小坏爷 于 2018-7-19 18:23 编辑

Windows Defender 防病毒程序 已检测到恶意软件或其他潜在的垃圾软件。
请参阅以下详细信息:
https://go.microsoft.com/fwlink/ ... 680291&enterprise=0
  名称: Trojan:Win32/Detplock
  ID: 2147680291
  严重性: 严重
  类别: 特洛伊木马
  路径: file:_D:\xunlei\Setup3.exe;webfile:_D:\xunlei\Setup3.exe|http://oleopene.com/Setup3.exe|pid:11384,ProcessStart:131764684256781647
  检测来源: Internet
  检测类型: 快速路径
  检测源: 实时保护
  用户: DESKTOP-UFK
  进程名称: C:\Windows\System32\browser_broker.exe


名称: Trojan:Win32/Fuery.D!cl
  ID: 2147718737
  严重性: 严重
  类别: 特洛伊木马
  路径: file:_D:\xunlei\serverx.exe;webfile:_D:\xunlei\serverx.exe|http://newskyspaces.us/serverx.exe|pid:11108,ProcessStart:131764689723744161
  检测来源: Internet
  检测类型: 快速路径
  检测源: 实时保护
  用户: DESKTOP-UFK
  进程名称: C:\Windows\System32\browser_broker.exe
  签名版本: AV: 1.273.20.0, AS: 1.273.20.0, NIS: 1.273.20.0
  引擎版本: AM: 1.1.15100.1, NIS: 1.1.15100.1

拦截一个  newskyinternational.com/server.exe
如果下载本地则报。 VirTool:MSIL/Injector

名称: VirTool:MSIL/Injector
  ID: 2147638720
  严重性: 严重
  类别: 工具
  路径: file:_D:\xunlei\MalwarePack#0719\server.exe
  检测来源: 本地计算机
  检测类型: 实际
  检测源: 实时保护

Windows Defender 防病毒程序 已检测到可疑行为。
  名称: Behavior:Win32/DroppedKnownMalware
  ID: 2101688537
  严重性: 低
  类别: 可疑行为
  找到的路径: file:_D:\Program Files\WinRAR\WinRAR.exe;process:_2212
  检测来源: 本地计算机
  检测类型: 可疑
  检测源: 实时保护
  状态: 正在执行
  用户: DESKTOP-UFK
  进程名称: D:\Program Files\WinRAR\WinRAR.exe
  签名 ID: 41453017067075
  签名版本: AV: 1.273.20.0, AS: 1.273.20.0
  引擎版本: 1.1.15100.1
  保真度标签:  低
  目标文件名:  D:\xunlei\MalwarePack#0719\server.exe





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

dreams521
发表于 2018-7-19 18:30:28 | 显示全部楼层
本帖最后由 dreams521 于 2018-7-19 18:42 编辑

19.07.2018 18.28.54;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\serverx.exe;Microsoft Windows Search Protocol Host;C:\Users\Administrator\Desktop\serverx.exe;07/19/2018 18:28:54;HEUR:Backdoor.Win32.Agent.gen
19.07.2018 18.28.51;检测到的对象( 文件 );C:\Users\Administrator\Desktop\Setup3.exe;Windows Explorer;C:\Users\Administrator\Desktop\Setup3.exe;07/19/2018 18:28:51;UDS:Trojan-PSW.Win32.Coins.a
补充
在以下文件中找到已被使用 KSN 技术的 Kaspersky Lab 产品检测到的恶意代码:
server.exe - UDS:DangerousObject.Multi.Generic
回复

举报

Sailer.X 该用户已被删除
发表于 2018-7-19 19:32:22 | 显示全部楼层
Jirehlov1234 发表于 2018-7-19 18:10
BD19

URL

OTP这个拦截不像是拉黑了样本地址,查了下IP,个人感觉更像是报了内网缓存地址。我这里双击setup3.exe并没有触发OTP,不过被ATD干掉了。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

command360
发表于 2018-7-19 19:45:26 | 显示全部楼层
Avast全kil,火绒全miss

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Jirehlov1234
发表于 2018-7-19 19:47:19 | 显示全部楼层
本帖最后由 Jirehlov1234 于 2018-7-19 20:02 编辑
霄栋 发表于 2018-7-19 19:32
OTP这个拦截不像是拉黑了样本地址,查了下IP,个人感觉更像是报了内网缓存地址。我这里双击setup3.exe并 ...

不清楚,我是影子下双击的。等了几分钟atd没反应就重启了
=========================

刚才实机双击了下,结果相同,触发OTP但5分钟内没有ATD
(样本路径在非系统盘的on-access扫描排除文件夹内)
回复

举报

病毒探索者
发表于 2018-7-19 20:18:00 | 显示全部楼层
第一个被微软Edge拦截,第二个打不开,第三个卡巴斯基拦截

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

www-tekeze
发表于 2018-7-19 22:10:22 | 显示全部楼层
6楼已有火绒,上个智量的,清空。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

WhiteCruel
发表于 2018-7-19 23:28:08 | 显示全部楼层
ESET

网页全部拉黑
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-26 18:10 , Processed in 0.178730 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表