#PACKAGE 0724

显示全部楼层 · 发表于 2018-7-24 22:56:45

本帖最后由 www-tekeze 于 2018-7-24 22:58 编辑

bbs2811125 发表于 2018-7-24 22:54
这又是什么新玩意儿

以前的木马大师，现在叫智量安全终端，主打的AI，ML提取的是基因码，我已用二个星期了，检出率还挺高。

https://www.wisevector.com/

显示全部楼层 · 发表于 2018-7-24 22:59:21

www-tekeze 发表于 2018-7-24 22:56
以前的木马大师，现在叫智量安全终端，主打的AI，ML提取的是基因码，我已用二个星期了，检出率还挺高。
...

多谢，这个倒是有意思，我对前身有印象

显示全部楼层 · 发表于 2018-7-24 23:01:40

bbs2811125 发表于 2018-7-24 22:59
多谢，这个倒是有意思，我对前身有印象

大佬客气了。。

显示全部楼层 · 发表于 2018-7-24 23:19:41

NS，扫描剩3,5,6,10,16,22,27
双击3：提示了一个是否允许联网，，确认后没反应。
文件名: 0724(3).exe
完整路径: C:\Users\tom-w\Downloads\PACKAGE 0724\0724(3).exe

____________________________

____________________________

开发人员
不可用

版本
4.5.0.4

已识别
2018/7/24 ( 22:47:41 )

上次使用时间
2018/7/24 ( 22:48:09 )

启动项
否

____________________________

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

未知
有关此文件的信息不足，无法推荐它。

____________________________

源文件:
360zip.exe

创建的文件:
0724(3).exe

____________________________

性能

____________________________

平均资源使用率: 低
平均 CPU 使用率: 低
平均内存使用率: 低

____________________________

性能警报

进程 ID
31532

CPU
正常

内存
正常

句柄计数
正常

磁盘读取活动
正常

磁盘写入活动
正常

____________________________

系统更改

c:\users\tom-w\appdata\roaming\logs
____________________________

文件指纹 - SHA:
8869d82bdda34694490bd21cc39676cfa8aa9bfd1650d72d78463edb57ec09fa
文件指纹 - MD5:
bfea1ea677e7ed1b2cb05b34bc7b1d69
双击5：SONAR删除；
文件名: 0724(5).exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用

____________________________

____________________________

在电脑上
2018/7/24 ( 22:57:17 )

上次使用时间
2018/7/24 ( 22:57:17 )

启动项
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

0724(5).exe 威胁名称: SONAR.Heuristic.170
定位

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
360zip.exe

创建的文件:
0724(5).exe

____________________________

文件操作

文件: c:\users\tom-w\downloads\package 0724\ 0724(5).exe 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\tom-w\downloads\package 0724\0724(5).exe, PID:29748) 未采取操作
(执行者 c:\users\tom-w\downloads\package 0724\0724(5).exe, PID:29748) 未采取操作
事件: PE 文件创建: c:\Users\tom-w\AppData\Local\Temp\ 4C7.tmp (执行者 c:\users\tom-w\downloads\package 0724\0724(5).exe, PID:29748) 未采取操作
事件: 进程启动: c:\users\tom-w\downloads\package 0724\ 0724(5).exe, PID:29748 (执行者 c:\users\tom-w\downloads\package 0724\0724(5).exe, PID:29748) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

双击6:Sonar 杀
文件名: 0724(6).exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用

____________________________

____________________________

在电脑上
2018/7/24 ( 23:02:10 )

上次使用时间
2018/7/24 ( 23:02:10 )

启动项
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

0724(6).exe 威胁名称: SONAR.Heuristic.170
定位

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
360zip.exe

创建的文件:
0724(6).exe

____________________________

文件操作

文件: c:\users\tom-w\downloads\package 0724\ 0724(6).exe 威胁已删除
文件: c:\users\tom-w\appdata\roaming\microsoft\crypto\rsa\s-1-5-21-2297992440-3547089610-872832135-1001\ d98058e31af10baec2b138cfc18df843_fd8232b2-778f-45a9-8eaf-d8806de3c25e 威胁已删除
目录: c:\users\tom-w\appdata\roaming\ 0045f0 威胁已删除
____________________________

网络操作

事件: 网络活动 (执行者 c:\users\tom-w\downloads\package 0724\0724(6).exe, PID:7336) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\tom-w\downloads\package 0724\0724(6).exe, PID:7336) 未采取操作
(执行者 c:\users\tom-w\downloads\package 0724\0724(6).exe, PID:7336) 未采取操作
事件: 进程启动: c:\users\tom-w\downloads\package 0724\ 0724(6).exe, PID:7336 (执行者 c:\users\tom-w\downloads\package 0724\0724(6).exe, PID:7336) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

10 过 SONAR，文件名: 0724(10).exe
完整路径: C:\Users\tom-w\Downloads\PACKAGE 0724\0724(10).exe

____________________________

____________________________

开发人员
SARI SEFWI LIMITED

版本
6.1.7600.16385

已识别
2018/7/24 ( 23:06:09 )

上次使用时间
2018/7/24 ( 23:11:46 )

启动项
否

____________________________

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

未知
有关此文件的信息不足，无法推荐它。

____________________________

源文件:
360zip.exe

创建的文件:
0724(10).exe

____________________________

性能

____________________________

平均资源使用率: 低
平均 CPU 使用率: 低
平均内存使用率: 低

____________________________

性能警报

进程 ID
16800

CPU
正常

内存
正常

句柄计数
正常

磁盘读取活动
正常

磁盘写入活动
正常

____________________________

文件指纹 - SHA:
b6ee8af5e40cb589f42c15f137e884fe9187afa3d759038c2bb7122053023d52
文件指纹 - MD5:
a00d7e027d041d64bed25448d3459187

16 双击后自动退出；

22 双击后SONAR删除，
文件名: 0724(22).exe
威胁名称: SONAR.SuspBeh!gen57完整路径: 不可用

____________________________

____________________________

在电脑上
2018/7/24 ( 23:15:25 )

上次使用时间
2018/7/24 ( 23:15:25 )

启动项
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

0724(22).exe 威胁名称: SONAR.SuspBeh!gen57
定位

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
360zip.exe

创建的文件:
0724(22).exe

____________________________

文件操作

文件: c:\users\tom-w\downloads\package 0724\ 0724(22).exe 威胁已删除
文件: c:\users\tom-w\{0yhxpxxk-k7z9-38gs-xbvt-rmh30eg4sog0}\ bnze.exe 威胁已删除
文件: c:\windows\system32\tasks\ {uwgq5p3g-exq9-x68k-h7qw-bic5fcil3xxh} 威胁已删除
文件: c:\users\tom-w\appdata\roaming\ 17134.1.amd64fre.rs4_release.180410-1804.dll 威胁已删除
文件: c:\users\tom-w\{0yhxpxxk-k7z9-38gs-xbvt-rmh30eg4sog0}\ bnze.exe 不需要操作
文件: c:\users\tom-w\{0yhxpxxk-k7z9-38gs-xbvt-rmh30eg4sog0}\ bnze.exe:zone.identifier 不需要操作
目录: c:\users\tom-w\ {0yhxpxxk-k7z9-38gs-xbvt-rmh30eg4sog0} 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ {UWGQ5P3G-EXQ9-X68K-H7QW-BIC5FCIL3XXH}, 注册表配置单元: 64 位威胁已删除
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ {4CEB56D4-2A6F-46F4-8F20-C8A33F26F285}, 注册表配置单元: 64 位威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\tom-w\downloads\package 0724\0724(22).exe, PID:25104) 未采取操作
事件: PE 文件创建: c:\users\tom-w\{0yhxpxxk-k7z9-38gs-xbvt-rmh30eg4sog0}\ bnze.exe (执行者 c:\users\tom-w\downloads\package 0724\0724(22).exe, PID:25104) 未采取操作
事件: 进程启动: c:\Windows\System32\ cmd.exe, PID:31948 (执行者 c:\users\tom-w\downloads\package 0724\0724(22).exe, PID:25104) 未采取操作
事件: 进程启动: c:\Windows\System32\ cmd.exe, PID:30844 (执行者 c:\users\tom-w\downloads\package 0724\0724(22).exe, PID:25104) 未采取操作
事件: 进程启动: c:\Windows\System32\ icacls.exe, PID:33464 (执行者 c:\users\tom-w\downloads\package 0724\0724(22).exe, PID:25104) 未采取操作
事件: 进程启动: c:\Windows\System32\ schtasks.exe, PID:18376 (执行者 c:\users\tom-w\downloads\package 0724\0724(22).exe, PID:25104) 未采取操作
事件: 进程启动: c:\Windows\System32\ cmd.exe, PID:20028 (执行者 c:\users\tom-w\downloads\package 0724\0724(22).exe, PID:25104) 未采取操作
事件: 进程启动: c:\Windows\System32\ icacls.exe, PID:32532 (执行者 c:\users\tom-w\downloads\package 0724\0724(22).exe, PID:25104) 未采取操作
事件: 进程启动: c:\Windows\System32\ cmd.exe, PID:31620 (执行者 c:\users\tom-w\downloads\package 0724\0724(22).exe, PID:25104) 未采取操作
事件: 进程启动: c:\Windows\System32\ icacls.exe, PID:33452 (执行者 c:\users\tom-w\downloads\package 0724\0724(22).exe, PID:25104) 未采取操作
事件: 进程启动: c:\Windows\System32\ cmd.exe, PID:27180 (执行者 c:\users\tom-w\downloads\package 0724\0724(22).exe, PID:25104) 未采取操作
事件: 进程启动: c:\Windows\System32\ icacls.exe, PID:31188 (执行者 c:\users\tom-w\downloads\package 0724\0724(22).exe, PID:25104) 未采取操作
事件: 进程启动: c:\Windows\System32\ cmd.exe, PID:27964 (执行者 c:\users\tom-w\downloads\package 0724\0724(22).exe, PID:25104) 未采取操作
事件: 进程启动: c:\Windows\System32\ icacls.exe, PID:16684 (执行者 c:\users\tom-w\downloads\package 0724\0724(22).exe, PID:25104) 未采取操作
事件: 进程启动: c:\users\tom-w\{0yhxpxxk-k7z9-38gs-xbvt-rmh30eg4sog0}\ bnze.exe, PID:33208 (执行者 c:\users\tom-w\downloads\package 0724\0724(22).exe, PID:25104) 未采取操作
事件: 进程启动: c:\users\tom-w\downloads\package 0724\ 0724(22).exe, PID:25104 (执行者 c:\users\tom-w\downloads\package 0724\0724(22).exe, PID:25104) 未采取操作
事件: 进程启动 (执行者 c:\users\tom-w\{0yhxpxxk-k7z9-38gs-xbvt-rmh30eg4sog0}\bnze.exe, PID:23592) 未采取操作
事件: 进程启动: c:\users\tom-w\{0yhxpxxk-k7z9-38gs-xbvt-rmh30eg4sog0}\ bnze.exe, PID:23592 (执行者 c:\users\tom-w\{0yhxpxxk-k7z9-38gs-xbvt-rmh30eg4sog0}\bnze.exe, PID:23592) 未采取操作
事件: 进程启动 (执行者 c:\users\tom-w\{0yhxpxxk-k7z9-38gs-xbvt-rmh30eg4sog0}\bnze.exe, PID:33208) 未采取操作
事件: 进程启动: c:\users\tom-w\{0yhxpxxk-k7z9-38gs-xbvt-rmh30eg4sog0}\ bnze.exe, PID:33208 (执行者 c:\users\tom-w\{0yhxpxxk-k7z9-38gs-xbvt-rmh30eg4sog0}\bnze.exe, PID:33208) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

27双击后一闪而过，
最后剩余，3,10,16,27。总检测率 23/27 ≈ 85%

显示全部楼层 · 发表于 2018-7-25 00:15:26

卡巴清了一些。
剩下的用MD跑，有些动作是重复的。
基本运行完就删除自身了。

2018/7/25 星期三 00:09:56 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\package 0724\0724(12).exe
目标: D:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]d:\*

2018/7/25 星期三 00:09:56 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\package 0724\0724(12).exe
目标: E:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]e:\*

2018/7/25 星期三 00:09:56 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\package 0724\0724(12).exe
目标: F:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]f:\*

2018/7/25 星期三 00:09:56 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\package 0724\0724(12).exe
目标: G:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]g:\*

2018/7/25 星期三 00:09:56 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\package 0724\0724(12).exe
目标: H:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]h:\*

2018/7/25 星期三 00:09:57 修改注册表值风险提示:敏感阻止
进程: c:\users\administrator\desktop\package 0724\0724(12).exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序]?:\*\*\*\*\* -> [注册表组]阻止_优先黑名单

2018/7/25 星期三 00:10:00 加载动态链接库风险提示:中风险允许
进程: c:\users\administrator\desktop\package 0724\0724(12).exe
目标: c:\windows\system32\dnsapi.dll
规则: [应用程序]* -> [动态链接库]c:\windows\system32\dnsapi.dll

2018/7/25 星期三 00:10:06 访问网络风险提示:未知允许
进程: c:\users\administrator\desktop\package 0724\0724(12).exe
目标: TCP [本机 : 62672] ->  [159.69.47.43 : 80 (http)]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2018/7/25 星期三 00:10:16 修改其他进程的内存风险提示:高风险允许
进程: c:\windows\explorer.exe
目标: c:\users\administrator\desktop\package 0724\0724(17).exe
规则: [应用程序]c:\windows\explorer.exe

2018/7/25 星期三 00:10:21 创建新进程风险提示:未知允许
进程: c:\users\administrator\desktop\package 0724\0724(12).exe
目标: c:\windows\system32\cmd.exe
命令行: cmd.exe /C timeout 3 > Nul & Del "C:\Users\Administrator\Desktop\PACKAGE 0724\0724(12).exe"
规则: [应用程序]?* -> [子应用程序]?:\windows\system32\cmd.exe

2018/7/25 星期三 00:10:21 修改注册表值风险提示:敏感阻止
进程: c:\users\administrator\desktop\package 0724\0724(17).exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序]?:\*\*\*\*\* -> [注册表组]阻止_优先黑名单

2018/7/25 星期三 00:10:24 加载动态链接库风险提示:中风险允许
进程: c:\users\administrator\desktop\package 0724\0724(17).exe
目标: c:\windows\system32\dnsapi.dll
规则: [应用程序]* -> [动态链接库]c:\windows\system32\dnsapi.dll

2018/7/25 星期三 00:10:35 创建新进程风险提示:未知允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\timeout.exe
命令行: timeout  3
规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\*.exe

2018/7/25 星期三 00:10:38 访问网络风险提示:未知允许
进程: c:\users\administrator\desktop\package 0724\0724(17).exe
目标: TCP [本机 : 62691] ->  [185.244.42.92 : 80 (http)]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2018/7/25 星期三 00:10:45 删除文件风险提示:敏感允许
进程: c:\windows\system32\cmd.exe
目标: C:\Users\Administrator\Desktop\PACKAGE 0724\0724(12).exe
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

2018/7/25 星期三 00:11:01 删除文件风险提示:敏感阻止
进程: c:\users\administrator\desktop\package 0724\0724(17).exe
目标: C:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCache
规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\microsoft*

2018/7/25 星期三 00:11:01 删除文件风险提示:敏感阻止
进程: c:\users\administrator\desktop\package 0724\0724(17).exe
目标: C:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCache
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\package 0724\0724(17).exe -> [文件]c:\users\administrator\appdata\local\microsoft\windows; inetcache

2018/7/25 星期三 00:11:18 创建新进程风险提示:未知允许
进程: c:\users\administrator\desktop\package 0724\0724(17).exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\Windows\system32\cmd.exe" /c C:\Windows\system32\timeout.exe 3 & del "0724(17).exe"
规则: [应用程序]?* -> [子应用程序]?:\windows\system32\cmd.exe

2018/7/25 星期三 00:11:27 创建新进程风险提示:未知允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\timeout.exe
命令行: C:\Windows\system32\timeout.exe  3
规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\*.exe

2018/7/25 星期三 00:11:34 删除文件风险提示:敏感允许
进程: c:\windows\system32\cmd.exe
目标: C:\Users\Administrator\Desktop\PACKAGE 0724\0724(17).exe
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

2018/7/25 星期三 00:12:10 加载动态链接库风险提示:中风险允许
进程: c:\users\administrator\desktop\package 0724\0724(5).exe
目标: c:\users\administrator\appdata\local\temp\763f.tmp
规则: [应用程序]?* -> [动态链接库]?:\*\temp\*.tmp

2018/7/25 星期三 00:12:21 创建新进程风险提示:未知阻止
进程: c:\users\administrator\desktop\package 0724\0724(5).exe
目标: c:\windows\system32\msiexec.exe
命令行: C:\Windows\system32\msiexec.exe
规则: [应用程序]??\?* -> [子应用程序]c:\windows\system32\msiexec.exe

2018/7/25 星期三 00:12:33 修改文件风险提示:敏感阻止
进程: c:\users\administrator\desktop\package 0724\0724(6).exe
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-719447134-2114279163-1642779816-500\a18ca4003deb042bbee7a40f15e1970b_1e3c401a-026c-449e-85ba-a1a092e56e2a
规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\microsoft*

2018/7/25 星期三 00:12:33 修改文件风险提示:敏感阻止
进程: c:\users\administrator\desktop\package 0724\0724(6).exe
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-719447134-2114279163-1642779816-500\a18ca4003deb042bbee7a40f15e1970b_1e3c401a-026c-449e-85ba-a1a092e56e2a
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\package 0724\0724(6).exe -> [文件]c:\users\administrator\appdata\roaming\microsoft\crypto\rsa\s-1-5-21-719447134-2114279163-1642779816-500; a18ca4003deb042bbee7a40f15e1970b_1e3c401a-026c-449e-85ba-a1a092e56e2a

2018/7/25 星期三 00:12:33 创建文件风险提示:低风险允许
进程: c:\users\administrator\desktop\package 0724\0724(6).exe
目标: C:\Users\Administrator\AppData\Roaming\EC5770\0AD663.lck
规则: [应用程序]?:\*\*\*\*\* -> [文件组]《写入》f080_程序appdata

2018/7/25 星期三 00:12:40 删除文件风险提示:敏感阻止
进程: c:\users\administrator\desktop\package 0724\0724(6).exe
目标: C:\Users\Administrator\AppData\Roaming\EC5770\0AD663.lck
规则: [应用程序]?:\*\*\*\*\* -> [文件组]《写入》f080_程序appdata

2018/7/25 星期三 00:12:48 修改注册表值风险提示:敏感阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\IE10RunOnceLastShown
值: 0x00000001(1)
规则: [注册表组]r444_IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\*

2018/7/25 星期三 00:12:48 修改文件风险提示:敏感阻止
进程: c:\users\administrator\desktop\package 0724\0724(6).exe
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-719447134-2114279163-1642779816-500\a18ca4003deb042bbee7a40f15e1970b_1e3c401a-026c-449e-85ba-a1a092e56e2a
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\package 0724\0724(6).exe -> [文件]c:\users\administrator\appdata\roaming\microsoft\crypto\rsa\s-1-5-21-719447134-2114279163-1642779816-500; a18ca4003deb042bbee7a40f15e1970b_1e3c401a-026c-449e-85ba-a1a092e56e2a

2018/7/25 星期三 00:12:53 修改文件风险提示:敏感允许
进程: c:\users\administrator\desktop\package 0724\0724(6).exe
目标: C:\Users\Administrator\Desktop\PACKAGE 0724\0724(6).exe
规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

2018/7/25 星期三 00:12:53 删除注册表值风险提示:敏感阻止
进程: c:\program files\安全浏览器\360se.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [应用程序]?:\program files\*\*.exe -> [注册表组]阻止_优先黑名单

2018/7/25 星期三 00:12:53 删除注册表值风险提示:敏感阻止
进程: c:\program files\安全浏览器\360se.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
规则: [应用程序]?:\program files\*\*.exe -> [注册表组]阻止_优先黑名单

2018/7/25 星期三 00:13:00 创建文件风险提示:低风险允许
进程: c:\users\administrator\desktop\package 0724\0724(6).exe
目标: C:\Users\Administrator\AppData\Roaming\EC5770\0AD663.exe
规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f245_Documents and Settings -> [文件]?:\users\*\appdata\roaming\*\*; *.exe

2018/7/25 星期三 00:13:00 修改文件风险提示:敏感阻止
进程: c:\users\administrator\desktop\package 0724\0724(6).exe
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-719447134-2114279163-1642779816-500\a18ca4003deb042bbee7a40f15e1970b_1e3c401a-026c-449e-85ba-a1a092e56e2a
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\package 0724\0724(6).exe -> [文件]c:\users\administrator\appdata\roaming\microsoft\crypto\rsa\s-1-5-21-719447134-2114279163-1642779816-500; a18ca4003deb042bbee7a40f15e1970b_1e3c401a-026c-449e-85ba-a1a092e56e2a

2018/7/25 星期三 00:13:00 设置文件夹隐藏属性风险提示:敏感阻止
进程: c:\users\administrator\desktop\package 0724\0724(6).exe
目标: C:\Users\Administrator\AppData\Roaming\EC5770
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

2018/7/25 星期三 00:13:00 修改文件风险提示:敏感阻止
进程: c:\users\administrator\desktop\package 0724\0724(6).exe
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-719447134-2114279163-1642779816-500\a18ca4003deb042bbee7a40f15e1970b_1e3c401a-026c-449e-85ba-a1a092e56e2a
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\package 0724\0724(6).exe -> [文件]c:\users\administrator\appdata\roaming\microsoft\crypto\rsa\s-1-5-21-719447134-2114279163-1642779816-500; a18ca4003deb042bbee7a40f15e1970b_1e3c401a-026c-449e-85ba-a1a092e56e2a

显示全部楼层 · 发表于 2018-7-25 07:06:22

我来试试咖啡个人版
右键杀10x，剩余双击:
1:驻留内存，未见异常，一段时间后退出
2：Real Protect-EC!1C84E533EA5D
3：未见异常
4:Real Protect-EC!600B334346D5
6：占用CPU，未见其他异常，然后自退出
7：复制自身后退出
9：双击后退出
13：双击后退出
14：双击后提示需要更高版本的office……
17：双击后随着衍生物退出，删除自身
18：双击后驻留
19：双击后退出
20：双击后驻留
21：Real Protect-EC!A3A8E9C7CA9E
22：双击后拦截联网，随后退出
26：双击报错
27：请求管理员权限，双击后退出

车似乎没翻，但是最后3和18仍驻留在内存中

显示全部楼层 · 发表于 2018-7-25 07:39:15

ESET 7.25 7：39
25/27

Scan Log
Version of detection engine: 17769P (20180724)
Date: 2018/7/25 Time: 7:31:46
Scanned disks, folders and files: C:\Users\Virus\Downloads\PACKAGE 0724
C:\Users\Virus\Downloads\PACKAGE 0724\0724(1).exe - a variant of Win32/GenKryptik.CGBZ trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(10).exe - a variant of Win32/GenKryptik.CGAG trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(11).exe - a variant of Win32/Injector.DZJV trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(12).exe - a variant of Win32/Kryptik.GJBS trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(13).exe - a variant of Win32/Kryptik.GJDK trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(14).exe - a variant of MSIL/Kryptik.OYI trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(15).exe - Win32/Formbook.AA trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(16).exe - a variant of Win32/Injector.DZKR trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(17).exe - Win32/PSW.Delf.OSF trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(18).exe - a variant of Win32/Injector.DZKM trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(19).exe - a variant of Win32/Kryptik.GINQ trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(2).exe - a variant of Win32/Injector.DZJW trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(20).exe - a variant of Win32/Injector.DZKM trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(21).exe - MSIL/Immirat.A trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(22).exe - a variant of Win64/CoinMiner.MR trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(23).exe - a variant of Win32/Injector.DZJV trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(24).exe - a variant of Win32/Kryptik.GJEE trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(25).exe - a variant of Win32/Injector.DZKN trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(26).exe - a variant of Win32/Injector.DZKP trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(3).exe - a variant of Win32/GenKryptik.CGEF trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(4).exe - a variant of MSIL/Kryptik.OXV trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(5).exe - Win32/TrojanDownloader.Wauchos.DH trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(6).exe » UPX v13_m8 - is OK
C:\Users\Virus\Downloads\PACKAGE 0724\0724(7).exe - a variant of Win32/Injector.DZJW trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(8).exe - a variant of Win32/Injector.DZJV trojan - cleaned by deleting [1]
C:\Users\Virus\Downloads\PACKAGE 0724\0724(9).exe - Win32/Emotet.BO trojan - cleaned by deleting [1]
Number of scanned objects: 29
Number of threats found: 25
Number of cleaned objects: 25
Time of completion: 7:38:15 Total scanning time: 389 sec (00:06:29)

Notes:
[1] Object has been deleted as it only contained the virus body.

显示全部楼层 · 发表于 2018-7-25 08:03:40

本帖最后由 lqlwle 于 2018-7-25 08:30 编辑

FS kill16 剩余11个（10，3，24，5，12，14，18，21，17，19，22）
诶为什么fs扫描会比BD好呢
双击：
10：驻留内存
3：驻留内存
24：驻留内存
5：DG封锁
12：DG阻止
14：FSS已清除（似乎没有触发主防）
18：DG清除
21：DG封锁
17：DG封锁
19：似乎没反应，进程里没有，fs无提示
22：DG封锁

显示全部楼层 · 发表于 2018-7-25 08:52:28

ELOHIM 发表于 2018-7-24 22:11
你打开这个试试啊。。
真的，建议打开以后再测试。

我开了，用户文件夹是强制加入保护的，组策略都去不掉。很多程序都要访问用户文件夹（软件配置什么的都存在那里）弹窗弹个没完

显示全部楼层 · 发表于 2018-7-25 11:54:33

540923555 发表于 2018-7-25 08:52
我开了，用户文件夹是强制加入保护的，组策略都去不掉。很多程序都要访问用户文件夹（软件配置什么的都存 ...

%usersprofile%

可以加白的。。我喜欢开启。毕竟你在测试样本所以弹个没完。。

正常环境，除了安装的时候，应该会很安静。

[病毒样本] #PACKAGE 0724

评分