查看: 8635|回复: 75
收起左侧

[病毒样本] #PACKAGE 0725

  [复制链接]
Jerry.Lin
发表于 2018-7-25 20:19:13 | 显示全部楼层 |阅读模式
本帖最后由 191196846 于 2018-7-25 20:26 编辑

先前发了一份没改Hash,请重新下呢~
=======================

蓝奏

Total : 26


#勿传VT
#在样本有效期内(24小时),建议无需手动上报样本至厂商,便于其他人测试行为拦截,响应速度等
#样本序号以收集时间顺序排序,越大代表越接近现在时间



#样本新鲜,建议尽快食用,凉了就不好吃了~




回帖格式建议


杀软名称 + 时间
查杀数量+查杀率


例如:
XXX 20:39
Samples(5/10) 50%



评分

参与人数 2人气 +2 收起 理由
B100D1E55 + 1 赞一个!
renyifei + 1 感谢提供分享

查看全部评分

dreams521
发表于 2018-7-25 20:23:06 | 显示全部楼层
本帖最后由 dreams521 于 2018-7-25 20:53 编辑

卡巴20:24      Samples(19/26) 73%
25.07.2018 20.24.49;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(3).exe;C:\Users\Administrator\Desktop\123\0725(3).exe;HEUR:Trojan.Win32.Agent.gen;木马程序;07/25/2018 20:24:49
25.07.2018 20.24.49;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(4).exe;C:\Users\Administrator\Desktop\123\0725(4).exe;Trojan.Script.Suspic.gen;木马程序;07/25/2018 20:24:49
25.07.2018 20.24.48;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(23).exe;C:\Users\Administrator\Desktop\123\0725(23).exe;HEUR:Trojan-Dropper.Win32.Agent.gen;木马程序;07/25/2018 20:24:48
25.07.2018 20.24.48;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(24).exe//confuserExtractedData;C:\Users\Administrator\Desktop\123\0725(24).exe//confuserExtractedData;HEUR:Trojan.Win32.Generic;木马程序;07/25/2018 20:24:48
25.07.2018 20.24.48;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(24).exe;C:\Users\Administrator\Desktop\123\0725(24).exe;HEUR:Trojan.Win32.Generic;木马程序;07/25/2018 20:24:48
25.07.2018 20.24.48;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(7).exe;C:\Users\Administrator\Desktop\123\0725(7).exe;Trojan.Win32.VBKrypt.zrin;木马程序;07/25/2018 20:24:48
25.07.2018 20.24.48;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(6).exe;C:\Users\Administrator\Desktop\123\0725(6).exe;Backdoor.Win32.Androm.qdpw;木马程序;07/25/2018 20:24:48
25.07.2018 20.24.48;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(22).exe;C:\Users\Administrator\Desktop\123\0725(22).exe;HEUR:Trojan-PSW.Win32.Agent.gen;木马程序;07/25/2018 20:24:48
25.07.2018 20.24.48;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(21).exe;C:\Users\Administrator\Desktop\123\0725(21).exe;Trojan.Win32.VBKrypt.zrjk;木马程序;07/25/2018 20:24:48
25.07.2018 20.24.48;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(20).exe;C:\Users\Administrator\Desktop\123\0725(20).exe;HEUR:Trojan-PSW.Win32.Agent.gen;木马程序;07/25/2018 20:24:48
25.07.2018 20.24.47;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(2).exe;C:\Users\Administrator\Desktop\123\0725(2).exe;Backdoor.Win32.Androm.qdwo;木马程序;07/25/2018 20:24:47
25.07.2018 20.24.47;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(18).exe;C:\Users\Administrator\Desktop\123\0725(18).exe;Trojan-Spy.Win32.Noon.phb;木马程序;07/25/2018 20:24:47
25.07.2018 20.24.47;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(8).exe;C:\Users\Administrator\Desktop\123\0725(8).exe;Trojan.Win32.VBKrypt.zrgr;木马程序;07/25/2018 20:24:47
25.07.2018 20.24.47;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(17).exe;C:\Users\Administrator\Desktop\123\0725(17).exe;HEUR:Trojan-PSW.Win32.Agent.gen;木马程序;07/25/2018 20:24:47
25.07.2018 20.24.47;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(16).exe;C:\Users\Administrator\Desktop\123\0725(16).exe;HEUR:Trojan-PSW.Win32.Agent.gen;木马程序;07/25/2018 20:24:47
25.07.2018 20.24.47;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(15).exe;C:\Users\Administrator\Desktop\123\0725(15).exe;HEUR:Trojan-PSW.Win32.Agent.gen;木马程序;07/25/2018 20:24:47
25.07.2018 20.24.46;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(14).exe;C:\Users\Administrator\Desktop\123\0725(14).exe;Trojan-PSW.Win32.Fareit.efzm;木马程序;07/25/2018 20:24:46
25.07.2018 20.24.46;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(9).exe;C:\Users\Administrator\Desktop\123\0725(9).exe;HEUR:Trojan-Spy.Win32.Agent.gen;木马程序;07/25/2018 20:24:46
25.07.2018 20.24.46;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(11).exe;C:\Users\Administrator\Desktop\123\0725(11).exe;Trojan-PSW.Win32.Fareit.efzy;木马程序;07/25/2018 20:24:46
25.07.2018 20.24.46;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0725(10).exe;C:\Users\Administrator\Desktop\123\0725(10).exe;HEUR:Trojan-PSW.Win32.Agent.gen;木马程序;07/25/2018 20:24:46
剩余样本
PS:除5号样本剩余样本PDM杀

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
dongwenqi + 1 版区有你更精彩: )

查看全部评分

renyifei
发表于 2018-7-25 20:24:55 | 显示全部楼层
本帖最后由 renyifei 于 2018-7-26 09:19 编辑

ESET25/26双击1,扫描24

扫描
检测引擎的版本: 17772 (20180725)
日期: 2018-7-25-周三  时间: 20:23:03
已扫描的磁盘、文件夹和文件: D:\病毒样本\
D:\病毒样本\0725(1).exe - Win32/PSW.Fareit.L 特洛伊木马 - 通过删除清除 [1]
D:\病毒样本\0725(10).exe - MSIL/Kryptik.PAB 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(11).exe - Win32/Injector.DZKW 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(12).exe - Win32/Kryptik.GJEW 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(14).exe - Win32/GenKryptik.CGAV 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(15).exe - Win32/Injector.DZKV 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(16).exe - Win32/Injector.DZKV 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(17).exe - Win32/Injector.DZKV 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(18).exe - Win32/Injector.DZKW 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(19).exe - Win32/Kryptik.GJEW 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(2).exe - Win32/GenKryptik.CGBF 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(20).exe - Win32/Injector.DZKV 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(21).exe - Win32/Injector.DZKW 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(22).exe - MSIL/Kryptik.PAB 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(23).exe - MSIL/Kryptik.OYI 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(24).exe - MSIL/Packed.Confuser.P 可疑应用程序 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(26).exe - Win32/Kryptik.GJES 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(3).exe - MSIL/Packed.Confuser.V 可疑应用程序 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(5).exe > AUTOIT > script.bin - Win32/Injector.Autoit.DJQ 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(6).exe - Win32/GenKryptik.CGFV 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(7).exe - Win32/Injector.DZKW 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(8).exe - Win32/Injector.DZKW 特洛伊木马 的变种 - 通过删除清除 [1]
D:\病毒样本\0725(9).exe - Win32/Injector.DZKR 特洛伊木马 的变种 - 通过删除清除 [1]
已扫描的对象数: 30
发现的威胁数: 23
已清除对象数: 23
完成时间: 20:23:33  总扫描时间: 30 秒 (00:00:30)
备注:
[1] 由于对象中仅包含病毒主体,因此已被删除


双击
4号修改启动项直接杀
4号HIPS交互杀,13,25我这里跑不出行为7.26 ESET扫描杀4号以外所有



附上LG的信誉到此为止基本可以认为ESET全杀了,因为我未知文件都要检查信誉,这种红黄的直接删除了






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ATP_synthase
发表于 2018-7-25 20:43:00 | 显示全部楼层
本帖最后由 wusiyuanjh 于 2018-7-25 21:32 编辑

好几个云杀啊,沙盘双击,0725(1).exe has been detected as infected. Bitdefender blocked this item. Your device is not threat-free. Threat name: Gen:Suspicious.Cloud.8.umLfaeE4aFji
0725(4).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.

We blocked this dangerous page for your protection:http://admin.svapofit.com/azs/index.phpAccessed by: 0725(26).exeDangerous pages attempt to install software that can harm the device, gather personal information or operate without your consent.
0725(25).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.

0725(24).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.




小坏爷
发表于 2018-7-25 20:48:23 | 显示全部楼层
win10 Defender
双击+扫描+上载文件安全扫描
26X 全部KILL

Windows Defender 防病毒程序 已采取措施保护此计算机免受恶意软件或其他潜在垃圾软件的侵害。
Windows Defender 防病毒程序 已上载文件以做进一步分析。

名称: Trojan:Win32/Azden.B!cl
  ID: 2147723291
  严重性: 严重
  类别: 特洛伊木马
  路径: file:_D:\xunlei\PACKAGE 0725\0725(7).exe;file:_D:\xunlei\PACKAGE 0725\0725(8).exe

  名称: PWS:Win32/Primarypass.A
  ID: 2147714377
  严重性: 严重
  类别: 密码窃取程序
  路径: file:_D:\xunlei\PACKAGE 0725\0725(6).exe
名称: Trojan:Win32/Spursint.F!cl
  ID: 2147717281
  严重性: 严重
  类别: 特洛伊木马
  路径: file:_D:\xunlei\PACKAGE 0725\0725(4).exe
名称: PWS:Win32/Primarypass.A
  ID: 2147714377
  严重性: 严重
  类别: 密码窃取程序
  路径: file:_D:\xunlei\PACKAGE 0725\0725(6).exe
名称: Trojan:Win32/Dynamer!ac
  ID: 2147684005
  严重性: 严重
  类别: 特洛伊木马
  路径: file:_D:\xunlei\PACKAGE 0725\0725(18).exe;file:_D:\xunlei\PACKAGE 0725\0725(9).exe
名称: Trojan:Win32/Cloxer.D!cl
  ID: 2147726003
  严重性: 严重
  类别: 特洛伊木马
  路径: file:_D:\xunlei\0725(23).exe;file:_D:\xunlei\PACKAGE 0725\0725(23).exe
名称: Trojan:Win32/Emotet
  ID: 2147687714
  严重性: 严重
  类别: 特洛伊木马
  路径: file:_D:\xunlei\PACKAGE 0725\0725(19).exe
  检测来源: 本地计算机
  检测类型: 快速路径
  检测源: 实时保护
名称: VirTool:Win32/Injector
  ID: 2147565599
  严重性: 严重
  类别: 工具
  路径: file:_D:\xunlei\PACKAGE 0725\0725(17).exe;file:_D:\xunlei\PACKAGE 0725\0725(20).exe
名称: PWS:Win32/Fareit
  ID: 165393
  严重性: 严重
  类别: 密码窃取程序
  路径: file:_D:\xunlei\PACKAGE 0725\0725(14).exe
名称: Trojan:Win32/Spursint.F!cl
  ID: 2147717281
  严重性: 严重
  类别: 特洛伊木马
  路径: file:_D:\xunlei\PACKAGE 0725\0725(4).exe
名称: Ransom:Win32/Bosloki.A
  ID: 2147726220
  严重性: 严重
  类别: 勒索软件
  路径: file:_D:\xunlei\0725(3).exe;file:_D:\xunlei\PACKAGE 0725\0725(3).exe;


Windows Defender 防病毒程序 已使用动态签名服务来检索其他签名,以帮助保护你的计算机。
  当前签名版本: 1.273.326.0
  签名类型: 反间谍软件
  用户: \
  当前引擎版本: 1.1.15100.1
  动态签名类型: 签名更新
  永久性路径: C:\ProgramData\Microsoft\Windows Defender\Scans\RtSigs\data\e85c6af28490442d3a903bba3ddc56ebce3b4d06
  动态签名版本: 1.273.326.1
  动态签名编译时间戳: ‎2018/‎7/‎25 12:36:32
  永久性限制类型: VDM 版本
  永久性限制: 1.273.326.1


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
YU2711
发表于 2018-7-25 20:49:40 | 显示全部楼层
本帖最后由 YU2711 于 2018-7-25 21:26 编辑

Emsisoft
14/26

Emsisoft Anti-Malware - 版本 2018.6
最后更新: 2018/7/25 下午 05:35:02

操作系统版本: Windows 7x64 Service Pack 1

扫描设置:

扫描方式:

检测流氓软件(PUPs): 开
扫描存档: 开
扫描邮件档案: 关
ADS数据流: 扫描开
文件扩展名过滤: 关
直接磁盘访问: 关

扫描开始:        2018/7/25 下午 08:36:13
D:\0725(2).exe          Gen:Variant.Graftor.504016 (B) [krnl.xmd]
D:\0725(3).exe          Trojan.GenericKD.31121793 (B) [krnl.xmd]
D:\0725(6).exe          Trojan.GenericKD.31120842 (B) [krnl.xmd]
D:\0725(7).exe          Trojan.VB.Agent.AMB (B) [krnl.xmd]
D:\0725(8).exe          Gen:Variant.Graftor.504047 (B) [krnl.xmd]
D:\0725(9).exe          Trojan.GenericKD.40331957 (B) [krnl.xmd]
D:\0725(10).exe          Trojan.MSIL.Agent.DOA (B) [krnl.xmd]
D:\0725(14).exe          Gen:Variant.Ursu.258214 (B) [krnl.xmd]
D:\0725(15).exe          Trojan.Delf.Agent.JZ (B) [krnl.xmd]
D:\0725(16).exe          Trojan.Delf.Agent.JZ (B) [krnl.xmd]
D:\0725(17).exe          Trojan.Delf.Agent.JZ (B) [krnl.xmd]
D:\0725(18).exe          Gen:Variant.Zusy.292212 (B) [krnl.xmd]
D:\0725(20).exe          Trojan.Delf.Agent.JZ (B) [krnl.xmd]
D:\0725(23).exe          Gen:Variant.Razy.367223 (B) [krnl.xmd]

扫描        26
发现        14

扫描结束:        2018/7/26:25 下午 08:34
扫描时间:        0:00:11
行为监控检测 可疑行为 "CodeInjector" 来自于 "D:\0725(11).exe"
MISS1

  21 26 我这里开不起来

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Tom179090
发表于 2018-7-25 21:17:55 | 显示全部楼层
本帖最后由 Tom179090 于 2018-7-25 21:18 编辑

NS:右键扫描。剩余:1,2,4,5,9,14,25   共7个,检出 19个。检出率:19/26≈ 73%。
双击后,剩余9。其余SONAR杀。总检测率(扫描+双击):25/26 ≈ 96%

双击,1,SONAR杀:
文件名: 0725(1).exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用

____________________________

____________________________


在电脑上
2018/7/25 ( 21:02:58 )

上次使用时间
2018/7/25 ( 21:02:58 )

启动项


已启动


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


0725(1).exe 威胁名称: SONAR.Heuristic.170
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
360zip.exe

创建的文件:
0725(1).exe

____________________________

文件操作

文件: g:\样本\package  0725\ 0725(1).exe 威胁已删除
文件: c:\users\tom-w\appdata\roaming\microsoft\crypto\rsa\s-1-5-21-2297992440-3547089610-872832135-1001\ d98058e31af10baec2b138cfc18df843_fd8232b2-778f-45a9-8eaf-d8806de3c25e 威胁已删除
目录: c:\users\tom-w\appdata\roaming\ 0045f0 威胁已删除
____________________________

网络操作

事件: 网络活动 (执行者 g:\样本\package  0725\0725(1).exe, PID:5680) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 g:\样本\package  0725\0725(1).exe, PID:5680) 未采取操作
(执行者 g:\样本\package  0725\0725(1).exe, PID:5680) 未采取操作
事件: 进程启动: g:\样本\package  0725\ 0725(1).exe, PID:5680 (执行者 g:\样本\package  0725\0725(1).exe, PID:5680) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用


双击2,防火墙警报,允许——检测到大量出站请求,是否启用Norton Power Eraser?——否,,等待几秒后SONAR杀:

文件名: 0725(2).exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用

____________________________

____________________________


在电脑上
2018/7/25 ( 21:04:34 )

上次使用时间
2018/7/25 ( 21:04:34 )

启动项


已启动


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


0725(2).exe 威胁名称: SONAR.Heuristic.170
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
360zip.exe

创建的文件:
0725(2).exe

____________________________

文件操作

文件: g:\样本\package  0725\ 0725(2).exe 威胁已删除
文件: c:\users\tom-w\appdata\roaming\microsoft\crypto\rsa\s-1-5-21-2297992440-3547089610-872832135-1001\ d98058e31af10baec2b138cfc18df843_fd8232b2-778f-45a9-8eaf-d8806de3c25e 威胁已删除
目录: c:\users\tom-w\appdata\roaming\ 0045f0 威胁已删除
____________________________

网络操作

事件: 网络活动 (执行者 g:\样本\package  0725\0725(2).exe, PID:15708) 未采取操作
事件: 网络通信上检测到 Symantec IDS 特征 (执行者 g:\样本\package  0725\0725(2).exe, PID:15708) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 g:\样本\package  0725\0725(2).exe, PID:9524) 未采取操作
(执行者 g:\样本\package  0725\0725(2).exe, PID:9524) 未采取操作
事件: 进程启动: g:\样本\package  0725\ 0725(2).exe, PID:15708 (执行者 g:\样本\package  0725\0725(2).exe, PID:9524) 未采取操作
事件: 进程启动 (执行者 g:\样本\package  0725\0725(2).exe, PID:15708) 未采取操作
事件: 进程启动: g:\样本\package  0725\ 0725(2).exe, PID:9524 (执行者 g:\样本\package  0725\0725(2).exe, PID:9524) 未采取操作
事件: 进程启动: g:\样本\package  0725\ 0725(2).exe, PID:15708 (执行者 g:\样本\package  0725\0725(2).exe, PID:15708) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用


4,双击后杀衍生物:
文件名: 1.vbs
威胁名称: ISB.Downloader!gen80完整路径: c:\users\tom-w\appdata\local\temp\1.vbs

____________________________

____________________________


在电脑上
2018/7/25 ( 21:07:10 )

上次使用时间
2018/7/25 ( 21:07:10 )

启动项


已启动


威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。

____________________________


1.vbs 威胁名称: ISB.Downloader!gen80
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: c:\users\tom-w\appdata\local\temp\ 1.vbs 已阻止
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用


之后 SONAR 杀 4:
文件名: 0725(4).exe
威胁名称: SONAR.Dropper完整路径: 不可用

____________________________

____________________________


在电脑上
2018/7/25 ( 21:07:05 )

上次使用时间
2018/7/25 ( 21:07:05 )

启动项


已启动


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


0725(4).exe 威胁名称: SONAR.Dropper
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
360zip.exe

创建的文件:
0725(4).exe

____________________________

文件操作

文件: g:\样本\package  0725\ 0725(4).exe 威胁已删除
文件: c:\users\tom-w\appdata\local\temp\ 1.vbs 不需要操作
文件: c:\users\tom-w\appdata\locallow\sogoupy\ verify.ini 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\ componentconfig.ini 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_picface_sugg.bin 威胁已删除
文件: c:\programdata\sogouinput\components\picface\cloud\ sgim_picface_cloud_bak.bin 威胁已删除
文件: c:\programdata\sogouinput\components\picface\cloud\ sgim_picface_cloud.bin 威胁已删除
文件: c:\program files (x86)\sogouinput\components\picface\1.1.0.1819\picfacedata\ sgim_pf_ckey_bak.bin 威胁已删除
文件: c:\program files (x86)\sogouinput\components\picface\1.1.0.1819\picfacedata\ sgim_pf_ckey.bin 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_picidx.v2.bin.bak 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_piccell.v2.bin.bak 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_piccell.v2.bin 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_picidx.v2.bin 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ qq_pkg_info.dat 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\ env.ini 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\Microsoft\Windows\CurrentVersion\ ApplicationAssociationToasts->VBSFile_.vbs, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache->C:\WINDOWS\System32\ WScript.exe.FriendlyAppName, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache->C:\WINDOWS\System32\ WScript.exe.ApplicationCompany, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vbs\ OpenWithList, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->SogouComponentFirstLoad:1532523894, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->Used:1532523894, 注册表配置单元: 64 位 已修复
____________________________

网络操作

事件: 已触发自动防护 (执行者 g:\样本\package  0725\0725(4).exe, PID:2476) 未采取操作
事件: 已触发自动防护 (执行者 c:\users\tom-w\appdata\local\temp\1.vbs, PID:2476) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 g:\样本\package  0725\0725(4).exe, PID:2476) 未采取操作
(执行者 g:\样本\package  0725\0725(4).exe, PID:2476) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ wscript.exe, PID:5468 (执行者 g:\样本\package  0725\0725(4).exe, PID:2476) 未采取操作
事件: 进程启动: g:\样本\package  0725\ 0725(4).exe, PID:2476 (执行者 g:\样本\package  0725\0725(4).exe, PID:2476) 未采取操作
事件: 进程启动 (执行者 c:\users\tom-w\appdata\local\temp\1.vbs, PID:5468) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ wscript.exe, PID:5468 (执行者 c:\users\tom-w\appdata\local\temp\1.vbs, PID:5468) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用


5,双击, SONAR杀,但需要重新启动:
文件名: 0725(5).exe
威胁名称: SONAR.ProcHijack!gen9完整路径: 不可用

____________________________

____________________________


在电脑上
2018/7/25 ( 21:09:37 )

上次使用时间
2018/7/25 ( 21:09:37 )

启动项


已启动


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


0725(5).exe 威胁名称: SONAR.ProcHijack!gen9
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
360zip.exe

创建的文件:
0725(5).exe

____________________________

文件操作

文件: g:\样本\package  0725\ 0725(5).exe 威胁已删除
文件: c:\users\tom-w\appdata\roaming\etaxvuwrno\ jwsnvwtgizuxnqt.exe 威胁已删除
文件: c:\users\tom-w\appdata\roaming\microsoft\windows\start menu\programs\startup\ jwsnvwtgizuxnqt.fr.url 威胁已删除
文件: c:\users\tom-w\appdata\local\temp\ jqgpxarh 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\ verify.ini 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\ componentconfig.ini 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_picface_sugg.bin 威胁已删除
文件: c:\programdata\sogouinput\components\picface\cloud\ sgim_picface_cloud_bak.bin 威胁已删除
文件: c:\programdata\sogouinput\components\picface\cloud\ sgim_picface_cloud.bin 威胁已删除
文件: c:\program files (x86)\sogouinput\components\picface\1.1.0.1819\picfacedata\ sgim_pf_ckey_bak.bin 威胁已删除
文件: c:\program files (x86)\sogouinput\components\picface\1.1.0.1819\picfacedata\ sgim_pf_ckey.bin 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_picidx.v2.bin.bak 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_piccell.v2.bin.bak 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_piccell.v2.bin 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_picidx.v2.bin 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ qq_pkg_info.dat 威胁已删除
文件: c:\Users\tom-w\AppData\LocalLow\SogouPY\ env.ini 威胁已删除
事件: 正在运行进程: g:\样本\package  0725\ 0725(5).exe 已终止
目录: c:\users\tom-w\appdata\roaming\ etaxvuwrno 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->SogouComponentFirstLoad:1532523894, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->Used:1532523894, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->SogouComponentFirstLoad:1532524178, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->Used:1532524178, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->SogouComponentFirstLoad:1532524179, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->Used:1532524179, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->SogouComponentFirstLoad:1532524180, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->Used:1532524180, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->SogouComponentFirstLoad:1532524182, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->Used:1532524182, 注册表配置单元: 64 位 已修复
____________________________

系统设置操作

事件: 进程启动 (执行者 g:\样本\package  0725\0725(5).exe, PID:2632) 未采取操作
(执行者 g:\样本\package  0725\0725(5).exe, PID:2632) 未采取操作
事件: 进程启动: c:\Windows\microsoft.net\framework\v2.0.50727\ RegAsm.exe, PID:15684 (执行者 g:\样本\package  0725\0725(5).exe, PID:2632) 未采取操作
事件: 进程启动: g:\样本\package  0725\ 0725(5).exe, PID:4808 (执行者 g:\样本\package  0725\0725(5).exe, PID:2632) 未采取操作
事件: 进程启动 (执行者 g:\样本\package  0725\0725(5).exe, PID:4808) 未采取操作
(执行者 g:\样本\package  0725\0725(5).exe, PID:4808) 未采取操作
事件: 进程启动: g:\样本\package  0725\ 0725(5).exe, PID:2632 (执行者 g:\样本\package  0725\0725(5).exe, PID:2632) 未采取操作
事件: 进程启动: c:\Windows\microsoft.net\framework\v2.0.50727\ RegAsm.exe, PID:13792 (执行者 g:\样本\package  0725\0725(5).exe, PID:4808) 未采取操作
事件: 进程启动: g:\样本\package  0725\ 0725(5).exe, PID:1616 (执行者 g:\样本\package  0725\0725(5).exe, PID:4808) 未采取操作
事件: 进程启动 (执行者 g:\样本\package  0725\0725(5).exe, PID:1616) 未采取操作
(执行者 g:\样本\package  0725\0725(5).exe, PID:1616) 未采取操作
事件: 进程启动: g:\样本\package  0725\ 0725(5).exe, PID:4808 (执行者 g:\样本\package  0725\0725(5).exe, PID:4808) 未采取操作
事件: 进程启动: c:\Windows\microsoft.net\framework\v2.0.50727\ RegAsm.exe, PID:12208 (执行者 g:\样本\package  0725\0725(5).exe, PID:1616) 未采取操作
事件: 进程启动: g:\样本\package  0725\ 0725(5).exe, PID:15084 (执行者 g:\样本\package  0725\0725(5).exe, PID:1616) 未采取操作
事件: 进程启动 (执行者 g:\样本\package  0725\0725(5).exe, PID:15084) 未采取操作
(执行者 g:\样本\package  0725\0725(5).exe, PID:15084) 未采取操作
事件: 进程启动: g:\样本\package  0725\ 0725(5).exe, PID:1616 (执行者 g:\样本\package  0725\0725(5).exe, PID:1616) 未采取操作
事件: 进程启动: c:\Windows\microsoft.net\framework\v2.0.50727\ RegAsm.exe, PID:1760 (执行者 g:\样本\package  0725\0725(5).exe, PID:15084) 未采取操作
事件: 进程启动: g:\样本\package  0725\ 0725(5).exe, PID:3588 (执行者 g:\样本\package  0725\0725(5).exe, PID:15084) 未采取操作
事件: 进程启动 (执行者 g:\样本\package  0725\0725(5).exe, PID:3588) 未采取操作
(执行者 g:\样本\package  0725\0725(5).exe, PID:3588) 未采取操作
事件: 进程启动: g:\样本\package  0725\ 0725(5).exe, PID:15084 (执行者 g:\样本\package  0725\0725(5).exe, PID:15084) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用


9,双击后没有反应。好像自动退出??
文件名: 0725(9).exe
完整路径: G:\样本\PACKAGE  0725\0725(9).exe

____________________________

____________________________


开发人员
不可用

版本
不可用

已识别
2018/7/25 ( 21:11:01 )

上次使用时间
2018/7/25 ( 21:12:44 )

启动项



____________________________


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

未知
有关此文件的信息不足,无法推荐它。


____________________________


源文件:
360zip.exe

创建的文件:
0725(9).exe

____________________________

性能

____________________________

平均资源使用率: 低
平均 CPU 使用率: 低
平均内存使用率: 低

____________________________


文件指纹 - SHA:
013a5b58dd98de0200926b2336cf63a3db89196582b26767dfcc1bfad91ed626
文件指纹 - MD5:
ed365cefc903be39bd6be46394d57b41



14,SONAR 杀:
文件名: 0725(14).exe
威胁名称: SONAR.Infostealer!g2完整路径: 不可用

____________________________

____________________________


在电脑上
2018/7/25 ( 21:14:15 )

上次使用时间
2018/7/25 ( 21:14:15 )

启动项


已启动


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


0725(14).exe 威胁名称: SONAR.Infostealer!g2
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
360zip.exe

创建的文件:
0725(14).exe

____________________________

文件操作

文件: g:\样本\package  0725\ 0725(14).exe 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ WinRAR, 注册表配置单元: 64 位 威胁已删除
____________________________

网络操作

事件: 网络活动 (执行者 g:\样本\package  0725\0725(14).exe, PID:15792) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 g:\样本\package  0725\0725(14).exe, PID:15792) 未采取操作
(执行者 g:\样本\package  0725\0725(14).exe, PID:15792) 未采取操作
事件: 进程启动: g:\样本\package  0725\ 0725(14).exe, PID:15792 (执行者 g:\样本\package  0725\0725(14).exe, PID:15792) 未采取操作
事件: 进程启动 (执行者 g:\样本\package  0725\0725(14).exe, PID:10440) 未采取操作
事件: 进程启动: g:\样本\package  0725\ 0725(14).exe, PID:10440 (执行者 g:\样本\package  0725\0725(14).exe, PID:10440) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用



25, SONAR杀,
文件名: 0725(25).exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用

____________________________

____________________________


在电脑上
2018/7/25 ( 21:15:25 )

上次使用时间
2018/7/25 ( 21:15:25 )

启动项


已启动


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


0725(25).exe 威胁名称: SONAR.Heuristic.170
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
360zip.exe

创建的文件:
0725(25).exe

____________________________

文件操作

文件: g:\样本\package  0725\ 0725(25).exe 威胁已删除
目录: c:\users\tom-w\appdata\local\temp\ 6893a5d897 威胁已删除
目录: c:\programdata\ windows 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ System32, 注册表配置单元: 64 位 威胁已删除
____________________________

网络操作

事件: 网络活动 (执行者 g:\样本\package  0725\0725(25).exe, PID:14568) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 g:\样本\package  0725\0725(25).exe, PID:14568) 未采取操作
(执行者 g:\样本\package  0725\0725(25).exe, PID:14568) 未采取操作
事件: PE 文件创建: c:\programdata\windows\ csrss.exe (执行者 g:\样本\package  0725\0725(25).exe, PID:14568) 未采取操作
事件: 进程启动: g:\样本\package  0725\ 0725(25).exe, PID:14568 (执行者 g:\样本\package  0725\0725(25).exe, PID:14568) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用










萧萧小
发表于 2018-7-25 22:55:26 | 显示全部楼层
我把微点拦截的图上传下,因为虚拟机测得,之前快照回复了,这次重新测了下,我之前好像输错了,实际拦截了18个。。。。微点155版主防:18/26,剩余8个,我测了最近的几个包,拦截率都在60~70之间,感觉主防规则更新还是有点用的,但是误报还是有,误报我的360浏览器未知后门。。。好压未知间谍。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
275751198 + 1 好久不见的微点

查看全部评分

Jerry.Lin
 楼主| 发表于 2018-7-25 20:34:21 | 显示全部楼层
Emsisoft
7/26

  1. Emsisoft Anti-Malware - 版本 2018.6
  2. 最后更新: 2018/7/25 12:24:59
  3. 发起者: DESKTOP-VPBE70N\zhong
  4. 电脑名称: DESKTOP-VPBE70N
  5. 操作系统版本: Windows 10x64

  6. 扫描设置:

  7. 扫描方式:
  8. 对象: C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE  0725

  9. 检测流氓软件(PUPs): 开
  10. 扫描存档: 开
  11. 扫描邮件档案: 关
  12. ADS数据流扫描: 开
  13. 文件扩展名过滤: 关
  14. 直接磁盘访问: 关

  15. 扫描开始:        2018/7/25 20:33:17
  16. C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE  0725\0725(11).exe          Trojan.Injector (A) [294816]
  17. C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE  0725\0725(18).exe          Gen:Variant.Zusy.292212 (B) [krnl.xmd]
  18. C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE  0725\0725(2).exe          Gen:Variant.Graftor.504016 (B) [krnl.xmd]
  19. C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE  0725\0725(23).exe          Gen:Variant.Razy.367223 (B) [krnl.xmd]
  20. C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE  0725\0725(7).exe          Trojan.Injector (A) [294816]
  21. C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE  0725\0725(8).exe          Trojan.Injector (A) [294816]
  22. C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE  0725\0725(9).exe          Trojan.GenericKD.40331957 (B) [krnl.xmd]

  23. 扫描        26
  24. 发现        7

  25. 扫描结束:        2018/7/25 20:33:28
  26. 扫描时间:        0:00:11
复制代码
Jirehlov1234
发表于 2018-7-25 20:35:47 来自手机 | 显示全部楼层
dreams521 发表于 2018-7-25 20:23
卡巴20:24      Samples(19/26) 73%
25.07.2018 20.24.49;检测到的对象 ( 文件 ) 已删除;C:%users\Adminis ...

双击试试?
Severn'
发表于 2018-7-25 20:38:25 | 显示全部楼层
renyifei 发表于 2018-7-25 20:24
ESET24/26
日志
正在扫描日志

ESET的扫描还是强
萧萧小
发表于 2018-7-25 20:38:34 | 显示全部楼层
微点主防155版:16/26
ELOHIM
发表于 2018-7-25 20:46:51 | 显示全部楼层
本帖最后由 ELOHIM 于 2018-7-25 21:32 编辑

scep 20:46
6/26 23%

scep 20:47
7/26 26.9%


scep 21:31
9/26 34.6%

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 20:16 , Processed in 0.141945 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表