#PACKAGE 0803

显示全部楼层 · 发表于 2018-8-3 21:12:19

Karna 发表于 2018-8-3 21:08
20:38 卡巴扫描 7 + 双击
1 PDM:Exploit.Win32.Generic 显示拦截了,然而样本仍然在内存中,并且有短暂外联 ...

看9楼

有人测过解压了

显示全部楼层 · 发表于 2018-8-3 21:20:38

191196846 发表于 2018-8-3 21:12
看9楼

有人测过解压了

一小时内拉黑，还行啦，不能要求太高

显示全部楼层 · 发表于 2018-8-3 21:32:56

本帖最后由 YU2711 于 2018-8-3 21:43 编辑

Emsisoft 扫描 13/22

Emsisoft Anti-Malware - 版本 2018.7
最后更新： 2018/8/3 下午 08:40:57
发起者： User
电脑名称： USER
操作系统版本： Windows 10x64

扫描设置：

扫描方式：
对象： C:\Users\Use\Documents\EGDownloads\PACKAGE 0803

检测流氓软件(PUPs)：开
扫描存档：开
扫描邮件档案：关
ADS数据流扫描：开
文件扩展名过滤：关
直接磁盘访问：关

扫描开始： 2018/8/3 下午 09:28:26
C:\Users\Use\Documents\EGDownloads\PACKAGE 0803\0803(13).exe    Trojan.Injector (A) [294905]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0803\0803(14).exe    Trojan.Injector (A) [294905]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0803\0803(1).exe    Trojan.GenericKD.40362039 (B) [krnl.xmd]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0803\0803(16).exe    Gen:Variant.Graftor.506109 (B) [krnl.xmd]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0803\0803(17).exe    Trojan.GenericKD.40362610 (B) [krnl.xmd]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0803\0803(19).exe    Trojan.Emotet (A) [294956]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0803\0803(2).exe    Trojan.Injector (A) [294905]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0803\0803(20).exe    Gen:Variant.Razy.371242 (B) [krnl.xmd]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0803\0803(18).exe    Trojan.Injector (A) [294905]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0803\0803(4).exe    Gen:Variant.Razy.357657 (B) [krnl.xmd]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0803\0803(7).exe    Trojan.Injector (A) [294905]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0803\0803(9).exe    Trojan.Agent.DCPC (B) [krnl.xmd]
C:\Users\Use\Documents\EGDownloads\PACKAGE 0803\0803(8).exe    Gen:Heur.Emotet.4 (B) [krnl.xmd]

扫描 22
发现 13

扫描结束： 2018/8/3 下午 09:28:30
扫描时间： 0:00:04

双击 8/9 (余5号样本杀衍生AppData\Roaming\Taskmgr.exe)
               (21号重启删除)

显示全部楼层 · 发表于 2018-8-3 23:37:21

本帖最后由 WhiteCruel 于 2018-8-3 23:42 编辑

B100D1E55 发表于 2018-8-3 21:05
ESET扫描剩余4.exe
2分钟后动态威胁防御删除剩余

被你抢先一步了

2个半小时后EIS未报4号

显示全部楼层 · 发表于 2018-8-3 23:52:13

WhiteCruel 发表于 2018-8-3 23:37
被你抢先一步了

2个半小时后EIS未报4号

大概是因为4号检测结果可疑而不是高危，如果检测到高危估计会全网更新

不过之前也遇到过很迷的情况：检测结果显示安全（实际为恶意程序），但是第二天发现样本被入库……

显示全部楼层 · 发表于 2018-8-4 01:32:06

B100D1E55 发表于 2018-8-3 23:52
大概是因为4号检测结果可疑而不是高危，如果检测到高危估计会全网更新

不过之前也遇到过很迷的情况： ...

谜のDTD

对了，我发现模块里的扫描程序升级了，官方有没有相关的升级日志呢？找遍了只找到病毒库的。。。

显示全部楼层 · 发表于 2018-8-4 03:30:51

WhiteCruel 发表于 2018-8-4 01:32
谜のDTD

是的诶，模块更新内容一般会更新在kb文章里面，但是是月度更新所以要过一段时间，参考：

https://support.eset.com/advisories/?segment=home

里面的Modules Review就是模块更新内容

显示全部楼层 · 发表于 2018-8-4 06:42:46

密码是什么？

显示全部楼层 · 发表于 2018-8-4 06:53:38

本帖最后由 WhiteCruel 于 2018-8-4 06:55 编辑

B100D1E55 发表于 2018-8-4 03:30
是的诶，模块更新内容一般会更新在kb文章里面，但是是月度更新所以要过一段时间，参考：

https://supp ...

谢谢！目前好像只发布到6月份的内容

顺便说下，17825病毒库已经可以查杀4号样本了

显示全部楼层 · 发表于 2018-8-4 08:55:00

ELOHIM 发表于 2018-8-3 21:01
扫描样本出现这样的记录是不是表示中招啦？
好像不是。1360 是proexec,其它两个是scep的进程 ...

扫描样本应该不会中招，除非样本是针对这款安软的漏洞，上次WD引擎的漏洞，不就是一扫描就把威胁激活了

[病毒样本] #PACKAGE 0803