#PACKAGE 0801

显示全部楼层 · 发表于 2018-8-1 19:05:04

本帖最后由 191196846 于 2018-8-1 20:58 编辑

蓝奏

Total : 17

#勿传VT
#在样本有效期内（24小时），建议无需手动上报样本至厂商，便于其他人测试行为拦截，响应速度等
#样本序号以收集时间顺序排序，越大代表越接近现在时间

#样本新鲜，建议尽快食用，凉了就不好吃了~

回帖格式建议

杀软名称 + 时间
查杀数量+查杀率

例如：
XXX 20:39
Samples(5/10) 50%

显示全部楼层 · 发表于 2018-8-1 19:06:34

本帖最后由静影沉璧于 2018-8-1 19:30 编辑

BD2018 19:09 （实机测试）：
扫描：KILL 9X
双击：KILL 3X，5号样本被Web Protection阻止，本体未杀，其余驻留内存。。。
Total：12/17=71%

这次BD不太给力啊。。。等会儿全盘扫一遍。。。

显示全部楼层 · 发表于 2018-8-1 19:06:57

本帖最后由静影沉璧于 2018-8-1 20:23 编辑

趋势科技（虚拟机测试，防护级别为普通）扫描：KILL 2X
双击：KILL 5X（13,15号样本只阻止操作，未删除本体）
Total：7/17=41%

日志（蓝色为病毒本体，黑色是某些病毒运行后的衍生物）：
2018/8/1 19:43,TSPY_HPLOKI.SMBD,威胁,C:\Users\Administrator\Desktop\PACKAGE 0801\0801(12).exe,已移除,手动扫描,,,,
2018/8/1 19:44,TSPY_HPLOKI.SMBD,威胁,C:\Users\Administrator\Desktop\PACKAGE 0801\0801(17).exe,已移除,手动扫描,,,,
2018/8/1 19:45,HTTP_HANCITOR_REQUEST,威胁,C:\users\administrator\desktop\package 0801\0801(1).exe,已移除,网络内容扫描,,,,
2018/8/1 19:47,TSPY_FAREIT.MIP00000001,威胁,C:\Users\Administrator\Desktop\PACKAGE 0801\0801(5).exe,已移除,实时扫描,,,,
2018/8/1 19:48,TSPY_FAREIT.MIP00000001,威胁,C:\Users\Administrator\Desktop\PACKAGE 0801\0801(6).exe,已移除,实时扫描,,,,
2018/8/1 19:51,HEU_AEGISCS936,威胁,C:\Users\Administrator\AppData\Local\Temp\regserv31.exe,已移除,实时扫描,,,,
2018/8/1 19:51,HEU_AEGISCS936,威胁,C:\Users\Administrator\AppData\Local\Temp\regserv32.exe,已移除,实时扫描,,,,
2018/8/1 19:53,HEU_AEGIS1478T,威胁,C:\Users\Administrator\Desktop\PACKAGE 0801\0801(14).exe,已移除,实时扫描,,,,
2018/8/1 19:56,HEU_AEGISCS010,威胁,C:\Users\Administrator\Desktop\PACKAGE 0801\0801(16).exe,已移除,实时扫描,,,,
2018/8/1 19:56,HEU_AEGISCS010,威胁,c:\windows\win.ini,已移除,实时扫描,,,,

2018/8/1 19:56,C:\Users\Administrator\Desktop\PACKAGE 0801\0801(13).exe,Al Rashid LLC,1.0.0.0,Copyright © 2008 - 2018. All rights reserved.,ZwWriteVirtualMemory,已终止
2018/8/1 19:57,C:\Users\Administrator\Desktop\PACKAGE 0801\0801(15).exe,未知,,,ZwWriteVirtualMemory,已终止

显示全部楼层 · 发表于 2018-8-1 19:25:01

本帖最后由 YU2711 于 2018-8-1 19:40 编辑

SEP SCAN
15/17 (4.16)

(4.16)

17/17

显示全部楼层 · 发表于 2018-8-1 20:02:50

本帖最后由 dreams521 于 2018-8-1 20:37 编辑

接6楼

卡巴 20:00
7/17

01.08.2018 19.53.27;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\新建文件夹\0801(15).exe;C:\Users\Administrator\Desktop\新建文件夹\0801(15).exe;VHO:Backdoor.Multi.Generic;木马程序;08/01/2018 19:53:27
01.08.2018 19.53.27;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\新建文件夹\0801(10).exe//L.exe;C:\Users\Administrator\Desktop\新建文件夹\0801(10).exe//L.exe;UDS:Trojan.MSIL.Disfa.sb;木马程序;08/01/2018 19:53:27
01.08.2018 19.53.27;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\新建文件夹\0801(10).exe//H.exe;C:\Users\Administrator\Desktop\新建文件夹\0801(10).exe//H.exe;UDS:Trojan.Win32.Agentb.a;木马程序;08/01/2018 19:53:27
01.08.2018 19.53.27;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\新建文件夹\0801(10).exe;C:\Users\Administrator\Desktop\新建文件夹\0801(10).exe;08/01/2018 19:53:27
01.08.2018 19.53.23;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\新建文件夹\0801(17).exe;C:\Users\Administrator\Desktop\新建文件夹\0801(17).exe;HEUR:Trojan.MSIL.Agent.gen;木马程序;08/01/2018 19:53:23
01.08.2018 19.53.23;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\新建文件夹\0801(6).exe;C:\Users\Administrator\Desktop\新建文件夹\0801(6).exe;Trojan-PSW.Win32.Fareit.eglf;木马程序;08/01/2018 19:53:23
01.08.2018 19.53.23;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\新建文件夹\0801(14).exe;C:\Users\Administrator\Desktop\新建文件夹\0801(14).exe;Trojan.Win32.VBKrypt.zrwk;木马程序;08/01/2018 19:53:23
01.08.2018 19.53.23;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\新建文件夹\0801(13).exe;C:\Users\Administrator\Desktop\新建文件夹\0801(13).exe;HEUR:Trojan.Win32.Agent.gen;木马程序;08/01/2018 19:53:23
01.08.2018 19.53.22;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\新建文件夹\0801(12).exe;C:\Users\Administrator\Desktop\新建文件夹\0801(12).exe;HEUR:Trojan.MSIL.Agent.gen;木马程序;08/01/2018 19:53:22

剩余样本

双击剩余样本

1号样本:PDM 回滚
2号样本:双击后不停外联,但均被卡巴拒绝访问.
3号样本:PDM 回滚
4号样本:PDM 回滚
5号样本:PDM 回滚
7号样本:驻留内存
8号样本:PDM 回滚
9号样本:双击被删除(卡巴拉黑)
11号样本:双击被删除(卡巴拉黑)
16号样本:双击被删除(卡巴拉黑)PS:另附双击报告

显示全部楼层 · 发表于 2018-8-1 20:31:12

本帖最后由 Karna 于 2018-8-1 21:08 编辑

卡巴19:49 扫描杀掉6 + 双击
1 阻止一些恶意链接后本体：pdm.badur.a 回滚注册表
2 样本调用ie，卡巴阻止ie访问大量恶意链接，但不杀本体，常驻内存，重启不在内存中
3 杀掉回滚
4 衍生物要求管理员权限，允许，阻止一个恶意链接，windows弹出对话框 setup/uninstall 已停止工作，本体和衍生物退出，未观察到异样
5 杀掉回滚
6 UDS:Trojan-PSW.Win32.Fareit.eglf，未见VT
7 不杀，且不停创建相同进程，占用大量资源，手动结束
8 pdm.badur.a 回滚
9 UDS:Trojan-Spy.Win32.Noon.pro;banOn ，未见VT
11 UDS:Backdoor.Win32.Androm.a，未见VT
13 .net报错，本体常驻内存，重启出现一个 Foster Wheeler Ltd .exe 常驻内存继续报错，有外联一下
16 UDS:Trojan.Win32.Khalesi.hay，未见VT

最后附上全部样本外联数据，注意看已发送，可以大致得出这些样本泄露了多少敏感信息。machinery 为样本13 创建，ie为样本2调用，qqqqqqqqqqqq为样本5，temp那个是4的衍生物，Host Process for Windows Services 和kaspersky 这两个不用管

显示全部楼层 · 发表于 2018-8-1 23:07:37

BD 2019 实机复试

0801 23:00

扫描
11/17 （有两个为双击触发）

双击
7/7

总计
17/17 100%

PS：扫描比两小时前多了两个云杀（均为双击触发），而从双击结果看似乎BD2019的ATD相比18有较大改进，不过也不能排除是系统环境差异。@静影沉璧

显示全部楼层 · 发表于 2018-8-1 19:08:54

本帖最后由驭龙于 2018-8-1 19:33 编辑

WD 19点30分，火狐下载，保护高＋
2/17=11.76%

设置截图

PS：经过我不懈的努力，终于把WD打回原形了

显示全部楼层 · 发表于 2018-8-1 19:09:37

本帖最后由 191196846 于 2018-8-1 19:38 编辑

360TS
19:16 监控12x + 扫描0x

2018-08-01 19:16:39 C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE 0801\0801(17).exeThe file has been deleted. You could recover this file from quarantine as needed HEUR/QVM05.1.D77D.Malware.Gen
2018-08-01 19:16:05 C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE 0801\0801(12).exeThe file has been deleted. You could recover this file from quarantine as needed HEUR/QVM05.1.D77D.Malware.Gen
2018-08-01 19:13:32 C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE 0801\0801(9).exeThe file has been deleted. You could recover this file from quarantine as needed HEUR/QVM03.0.D77D.Malware.Gen
2018-08-01 19:13:26 C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE 0801\0801(8).exeThe file has been deleted. You could recover this file from quarantine as needed HEUR/QVM20.1.D77D.Malware.Gen
2018-08-01 19:12:52 C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE 0801\0801(6).exeThe file has been deleted. You could recover this file from quarantine as needed HEUR/QVM03.0.D77D.Malware.Gen
2018-08-01 19:12:28 C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE 0801\0801(4).exeThe file has been deleted. You could recover this file from quarantine as needed HEUR/QVM42.1.D77D.Malware.Gen
2018-08-01 19:12:21 C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE 0801\0801(3).exeThe file has been deleted. You could recover this file from quarantine as needed HEUR/QVM03.0.D77D.Malware.Gen
2018-08-01 19:11:28 C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE 0801\0801(15).exeThe file has been deleted. You could recover this file from quarantine as needed HEUR/QVM03.0.D77D.Malware.Gen
2018-08-01 19:11:24 C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE 0801\0801(14).exeThe file has been deleted. You could recover this file from quarantine as needed HEUR/QVM03.0.D77D.Malware.Gen
2018-08-01 19:11:12 C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE 0801\0801(13).exeThe file has been deleted. You could recover this file from quarantine as needed HEUR/QVM03.0.D77D.Malware.Gen
2018-08-01 19:10:32 C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE 0801\0801(10).exeThe file has been deleted. You could recover this file from quarantine as needed HEUR/QVM41.2.D77D.Malware.Gen
2018-08-01 19:10:25 C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE 0801\0801(1).exeThe file has been deleted. You could recover this file from quarantine as needed HEUR/QVM20.1.D77D.Malware.Gen

复制代码

19:37 监控+3 15/17

2018-08-01 19:27:47 C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE 0801\0801(7).exeThe file has been deleted. You could recover this file from quarantine as needed HEUR/QVM03.0.D77D.Malware.Gen
2018-08-01 19:27:46 C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE 0801\0801(5).exeThe file has been deleted. You could recover this file from quarantine as needed HEUR/QVM03.0.D77D.Malware.Gen
2018-08-01 19:17:21 C:\Users\zhong\Downloads\Compressed\VIRUS TEST\PACKAGE 0801\0801(16).exeThe file has been deleted. You could recover this file from quarantine as needed HEUR/QVM03.0.D77D.Malware.Gen

复制代码

显示全部楼层 · 发表于 2018-8-1 19:13:12

卡巴斯基5/17.剩余上报

显示全部楼层 · 发表于 2018-8-1 19:17:48

dongwenqi 发表于 2018-8-1 19:13
卡巴斯基5/17.剩余上报

别

看见主楼了吗

别这么勤快……

显示全部楼层 · 发表于 2018-8-1 19:32:38

趋势科技来了
高度敏感下，扫描+监控kill3
剩余全部信誉阻止

就不全部发图啦，发一些
其实我觉得趋势的信誉挺不错的

显示全部楼层 · 发表于 2018-8-1 19:42:14

lqlwle 发表于 2018-8-1 19:32
趋势科技来了
高度敏感下，扫描+监控kill3
剩余全部信誉阻止

卡巴开受信任应用程序模式也“不错”……

其实非白即黑这种本来就是无效测试……，你需要把“防护等级”从“自动切换”改为“普通”，才能见到趋势真正的主防：AGEIS

[病毒样本] #PACKAGE 0801

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分