#PACKAGE 0802

显示全部楼层 · 发表于 2018-8-2 18:54:39

蓝奏

Total : 26

#勿传VT
#在样本有效期内（24小时），建议无需手动上报样本至厂商，便于其他人测试行为拦截，响应速度等
#样本序号以收集时间顺序排序，越大代表越接近现在时间

#样本新鲜，建议尽快食用，凉了就不好吃了~

回帖格式建议

杀软名称 + 时间
查杀数量+查杀率

例如：
XXX 20:39
Samples(5/10) 50%

显示全部楼层 · 发表于 2018-8-2 18:57:50

本帖最后由静影沉璧于 2018-8-2 19:12 编辑

BD2019 19:00（实机）：解压+扫描：16X
双击:kill 8X（剩余样本双击数次后发现只杀衍生物，本体未杀）
Total：24/26=92.3%

显示全部楼层 · 发表于 2018-8-2 19:18:46

本帖最后由 Karna 于 2018-8-2 20:21 编辑

卡巴扫描直接卡住了，很醉人
======================================================
19:17 卡巴扫描 13 + 双击
6 短暂调用C:\Windows\SysWOW64\help.exe 联网，然后退出，
7 调用cmd，自身短暂联网后退出
8 PDM:Trojan.Win32.Generic
9 创建常驻内存程序boosttvout.exe，重启仍在，MISS
10 PDM:Trojan.Win32.Generic
12 PDM:Trojan.Win32.Badur.a
14 PDM:Trojan.Win32.Generic
15 PDM:Trojan.Win32.Generic
16 PDM:Trojan.Win32.Generic
18 运行一段时间，停止工作
20 缺少MSVCP100.dll，无法启动，手动安装dll，仍然无法启动0xc000007b，好像是没装DirectX 9.0c，这个不测了，交给其他人吧

22 调用ie访问网址被卡巴阻止，本体PDM:Trojan.Win32.Badur.a
26 运行后退出，怀疑检测虚拟机

感觉有几个是检测虚拟机的

显示全部楼层 · 发表于 2018-8-2 19:30:53

本帖最后由 YU2711 于 2018-8-2 21:18 编辑

Emsisoft  扫描(15/26)  19:29
Emsisoft Anti-Malware - 版本 2018.7
最后更新： 2018/8/2 下午 07:07:11
发起者： User
电脑名称： USER
操作系统版本： Windows 10x64

扫描设置：

扫描方式：
对象： C:\Users\Use\Documents\EGDownloads\PACKAGE 0802

检测流氓软件(PUPs)：开
扫描存档：开
扫描邮件档案：关
ADS数据流扫描：开
文件扩展名过滤：关
直接磁盘访问：关

扫描开始： 2018/8/2 下午 07:25:13
C:\Users\Use\Documents\EGDownloads\PACKAGE 0802\0802(23).exe -> (NSIS o) -> zlib_solid_nsis0000    Gen:Variant.Nemesis.313 (B) [krnl.xmd]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0802\0802(1).exe    Trojan.GenericKD.31140542 (B) [krnl.xmd]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0802\0802(13).exe    Trojan.GenericKD.31142668 (B) [krnl.xmd]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0802\0802(10).exe    Gen:Variant.Jaik.28255 (B) [krnl.xmd]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0802\0802(17).exe    Trojan.Injector (A) [294905]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0802\0802(18).exe    Trojan.Injector (A) [294905]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0802\0802(16).exe    Generic.Ransom.GandCrab4.DBA40220 (B) [krnl.xmd]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0802\0802(19).exe    Trojan.GenericKD.40360645 (B) [krnl.xmd]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0802\0802(2).exe    Trojan.GenericKD.40359478 (B) [krnl.xmd]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0802\0802(22).exe    Gen:Variant.Razy.323165 (B) [krnl.xmd]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0802\0802(24).exe    Trojan.Injector (A) [294905]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0802\0802(25).exe    Trojan.GenericKD.40360836 (B) [krnl.xmd]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0802\0802(3).exe    Trojan.GenericKD.40330530 (B) [krnl.xmd]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0802\0802(4).exe    Trojan.GenericKD.40357480 (B) [krnl.xmd]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0802\0802(5).exe    Trojan.Injector (A) [294905]

扫描 26
发现 15

扫描结束： 2018/8/2 下午 07:25:15
扫描时间： 0:00:02

双击 20:56
余
6.14MISS

20封琐网址主体未杀
总:23/26

显示全部楼层 · 发表于 2018-8-2 20:03:04

本帖最后由 YU2711 于 2018-8-2 21:21 编辑

SEP 扫描 19:45
22/26
余(7 .11.20.23)

双击 20:06
7SONAR.Heuristic.159
11提示无权限
20提示无MSVCP100.dll
23SONAR.Heuristic.159 重启

显示全部楼层 · 发表于 2018-8-2 20:20:30

本帖最后由静影沉璧于 2018-8-2 20:59 编辑

趋势科技（虚拟机测试，防御等级：普通）手动扫描：0/26

双击：
以下样本被成功防御并清除：
2018/8/2 20:22,TSPY_FAREIT.MIP00000001,威胁,C:\Users\Administrator\Desktop\PACKAGE 0802\0802(4).exe,已移除,实时扫描,,,,
2018/8/2 20:23,TSPY_FAREIT.MIP00000001,威胁,C:\Users\Administrator\Desktop\PACKAGE 0802\0802(8).exe,已移除,实时扫描,,,,
2018/8/2 20:24,HEU_AEGISCS985,威胁,c:\users\administrator\desktop\package 0802\0802(11).exe,已移除,实时扫描,,,,
2018/8/2 20:25,HEU_FALCONTroj.Win32.Gen.XXBM100FF004,威胁,C:\Users\Administrator\Desktop\PACKAGE 0802\0802(15).exe,已移除,实时扫描,,,,
2018/8/2 20:25,HEU_AEGISCS219,威胁,C:\Users\Administrator\Desktop\PACKAGE 0802\0802(14).exe,已移除,实时扫描,,,,
2018/8/2 20:26,TSPY_FAREIT.MIP00000001,威胁,C:\Users\Administrator\Desktop\PACKAGE 0802\0802(18).exe,已移除,实时扫描,,,,
2018/8/2 20:27,HEU_AEGISCS957,威胁,C:\Users\Administrator\Desktop\PACKAGE 0802\0802(23).exe,已移除,实时扫描,,,,
2018/8/2 20:27,HEU_FALCONTroj.Win32.Gen.XXBM100FF004,威胁,C:\Users\Administrator\Desktop\PACKAGE 0802\0802(26).exe,需要重新启动,实时扫描,,,,
2018/8/2 20:35,C:\Users\Administrator\Desktop\PACKAGE 0802\0802(12).exe,未知,,,C:\Users\Administrator\Desktop\PACKAGE 0802\0802(12).exe,已清除
2018/8/2 20:44,C:\Users\Administrator\Desktop\PACKAGE 0802\0802(3).exe,未知,,,C:\Windows\explorer.exe,已清除
以下样本被终止，本体未删除：
2018/8/2 20:19,C:\Users\Administrator\Desktop\PACKAGE 0802\0802(1).exe,未知,,,HKCU\Software\Microsoft\Windows\CurrentVersion\Run\remcos,已终止
2018/8/2 20:21,C:\Users\Administrator\Desktop\PACKAGE 0802\0802(2).exe,Skype Technologies S.A.,8.25.0.5,(c) 2018 Skype and/or Microsoft,ZwWriteVirtualMemory,已终止
2018/8/2 20:23,C:\Users\Administrator\Desktop\PACKAGE 0802\0802(9).exe,未知,,,C:\Users\Administrator\Desktop\PACKAGE 0802\0802(9).exe,已终止
2018/8/2 20:26,C:\Users\Administrator\Desktop\PACKAGE 0802\0802(19).exe,未知,,,ZwWriteVirtualMemory,已终止
2018/8/2 20:26,C:\Users\Administrator\Desktop\PACKAGE 0802\0802(21).exe,未知,,,ZwWriteVirtualMemory,已终止
2018/8/2 20:28,C:\Users\Administrator\Desktop\PACKAGE 0802\0802(25).exe,Heaventools Software,1.99.6.1400,Copyright ? 2000-2009 Heaventools Software,ZwWriteVirtualMemory,已终止
2018/8/2 20:52,C:\Users\Administrator\Desktop\PACKAGE 0802\0802(16).exe,未知,,,C:\Users\Administrator\Desktop\PACKAGE 0802\0802(16).exe,已终止
剩余样本双击情况：
样本10，22成功运行并驻留内存
样本20提示缺少MSVCP100.dll，未运行
样本5，6，13运行一段时间后自退
样本17，24运行后提示停止工作
样本7弹窗后即关闭

Total：10/26=38.5%

显示全部楼层 · 发表于 2018-8-2 22:53:36

火绒 22:50

右键扫描 3/26(11.5%)
双击行为杀 1/26(3.9%)

Total 4/26(15.4%)

显示全部楼层 · 发表于 2018-8-2 18:57:26

本帖最后由 761773275 于 2018-8-2 19:03 编辑

TrustPort 检出14个,删除13个,一个删除失败什么鬼(晚上双击)

Files:

File path	Scanning result	Virus name	Cleaning action
C:\Users\19285\Desktop\PACKAGE 0802\0802(1).exe	已感染!	Trojan.GenericKD.31140542 (Xenon)	已刪除
C:\Users\19285\Desktop\PACKAGE 0802\0802(10).exe	已感染!	Gen:Variant.Jaik.28255 (Xenon)	已刪除
C:\Users\19285\Desktop\PACKAGE 0802\0802(13).exe	已感染!	Trojan.GenericKD.31142668 (Xenon)	已刪除
C:\Users\19285\Desktop\PACKAGE 0802\0802(16).exe	已感染!	Generic.Ransom.GandCrab4.DBA40220 (Xenon)	已刪除
C:\Users\19285\Desktop\PACKAGE 0802\0802(18).exe	已感染!	Trojan.GenericKD.40360866 (Xenon)	已刪除
C:\Users\19285\Desktop\PACKAGE 0802\0802(19).exe	已感染!	Trojan.GenericKD.40360645 (Xenon)	已刪除
C:\Users\19285\Desktop\PACKAGE 0802\0802(2).exe	已感染!	Trojan.GenericKD.40359478 (Xenon)	已刪除
C:\Users\19285\Desktop\PACKAGE 0802\0802(22).exe	已感染!	Gen:Variant.Razy.323165 (Xenon)	已刪除
C:\Users\19285\Desktop\PACKAGE 0802\0802(23).exe\(NSIS o)\zlib_solid_nsis0000	已感染!	Gen:Variant.Nemesis.313 (Xenon)	刪除
C:\Users\19285\Desktop\PACKAGE 0802\0802(24).exe	已感染!	Trojan.VB.Agent.AMG (Xenon)	已刪除
C:\Users\19285\Desktop\PACKAGE 0802\0802(23).exe\(NSIS o)\zlib_solid_nsis0000	刪除失敗!	Gen:Variant.Nemesis.313 (Xenon)	忽略
C:\Users\19285\Desktop\PACKAGE 0802\0802(25).exe	已感染!	Trojan.GenericKD.40360836 (Xenon)	已刪除
C:\Users\19285\Desktop\PACKAGE 0802\0802(3).exe	已感染!	Trojan.GenericKD.40330530 (Xenon)	已刪除
C:\Users\19285\Desktop\PACKAGE 0802\0802(4).exe	已感染!	Trojan.GenericKD.40357480 (Xenon)	已刪除
C:\Users\19285\Desktop\PACKAGE 0802\0802(5).exe	已感染!	Gen:Variant.Razy.371940 (Xenon)	已刪除

Statistics

Boot sectors:

Scanned:	0
Infected:	0
Repaired:	0

Files:

Scanned:	26
Infected:	14
Repaired:	0
Renamed:	0
Quarantined:	0
Deleted:	13

Registry keys:

Scanned:	0
Infected:	0
Repaired:	0
Deleted:	0

显示全部楼层 · 发表于 2018-8-2 18:59:29

本帖最后由静影沉璧于 2018-8-2 20:04 编辑

avast高级版 19:57 （虚拟机）：扫描：14/26=54%

显示全部楼层 · 发表于 2018-8-2 19:00:19

360无BD无红伞 21/26=80.76%

360杀毒扫描日志

病毒库版本：
扫描时间：2018-08-02 19:00:38
扫描用时：00:00:06
扫描类型：右键扫描
扫描文件总数：26
项目总数：21
清除项目数：21

扫描选项
----------------------
扫描所有文件：是
扫描压缩包：是
发现病毒处理方式：由用户选择处理
扫描磁盘引导区：是
扫描 Rootkit：是
使用云查杀引擎：是
使用QVM人工智能引擎：是
扫描建议修复项：是
常规引擎设置：未使用

扫描内容
----------------------
D:\360极速浏览器下载\PACKAGE 0802

白名单设置
----------------------

扫描结果
======================
高危风险项
----------------------
D:\360极速浏览器下载\PACKAGE 0802\0802(1).exe HEUR/QVM05.1.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(10).exe HEUR/QVM03.0.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(13).exe HEUR/QVM05.1.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(14).exe HEUR/QVM03.0.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(15).exe HEUR/QVM09.0.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(16).exe HEUR/QVM20.1.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(17).exe HEUR/QVM03.0.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(18).exe HEUR/QVM03.0.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(19).exe HEUR/QVM03.0.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(21).exe HEUR/QVM03.0.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(22).exe HEUR/QVM03.0.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(23).exe HEUR/QVM42.2.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(24).exe HEUR/QVM03.0.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(26).exe HEUR/QVM07.1.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(3).exe HEUR/QVM03.0.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(5).exe HEUR/QVM03.0.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(6).exe HEUR/QVM10.2.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(8).exe HEUR/QVM03.0.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(9).exe HEUR/QVM19.1.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(11).exe HEUR/QVM06.2.E9FA.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0802\0802(12).exe HEUR/QVM09.0.E9FA.Malware.Gen 已删除

显示全部楼层 · 发表于 2018-8-2 19:02:14

本帖最后由 zhoutaoyu 于 2018-8-2 19:05 编辑

20180802 19:01Norton for Mac右键扫描：21/26 81%

剩余截图：

显示全部楼层 · 发表于 2018-8-2 19:02:43

本帖最后由沙丁鱼VX 于 2018-8-2 19:21 编辑

Avira

25/26，余1

19：20
26/26，全灭

显示全部楼层 · 发表于 2018-8-2 19:08:14

275751198 发表于 2018-8-2 19:00
360无BD无红伞 21/26=80.76%

360杀毒扫描日志

QVM牛逼

显示全部楼层 · 发表于 2018-8-2 19:11:54

scep 10/26  38.4%
————————
pua    : on
MAPS  : adv
ver    : 717

[病毒样本] #PACKAGE 0802

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源