#PACKAGE 0810

显示全部楼层 · 发表于 2018-8-10 19:03:02

本帖最后由 191196846 于 2018-8-10 22:27 编辑

FP:
0810(1).exe
0810(2).exe
==============

蓝奏

Total : 19

#勿传VT
#在样本有效期内（24小时），建议无需手动上报样本至厂商，便于其他人测试行为拦截，响应速度等
#样本序号以收集时间顺序排序，越大代表越接近现在时间

#样本新鲜，建议尽快食用，凉了就不好吃了~

回帖格式建议

杀软名称 + 时间
查杀数量+查杀率

例如：
XXX 20:39
Samples(5/10) 50%

显示全部楼层 · 发表于 2018-8-10 19:03:47

本帖最后由静影沉璧于 2018-8-10 19:33 编辑

BD 19:06 实机：扫描6/19
双击7/19
Total：13/19=68.4%
剩余样本中，8,13,14只杀衍生物，剩余无法正常运行
PS：最有意思的是18号样本，和上次那个把日期改成8888/8/8的样本极为相似

显示全部楼层 · 发表于 2018-8-10 19:41:19

静影沉璧发表于 2018-8-10 19:03
BD 19:06 实机：扫描6/19
双击7/19
Total：13/19=68.4%

是的

我看它行为奇奇gaygay , 就收下来了

显示全部楼层 · 发表于 2018-8-10 19:46:15

SEP 监控+扫描 14/19 19:21
余2.5.6.16.19.exe
双击:
(2):缺少dll
(5):驻内存退后联网自自删本体(防火墙拦截)
(6):SONAR.Heuristic.159
(16):驻内存退后联网自自删本体(防火墙拦截)
(19):SONAR.Heuristic.159

TOTAL:16/19

显示全部楼层 · 发表于 2018-8-10 19:54:12

本帖最后由 dreams521 于 2018-8-10 20:24 编辑

卡巴 19:56 10/19=52.6%

10.08.2018 19.57.01;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(5).exe;C:\Users\Administrator\Desktop\123\0810(5).exe;HEUR:Trojan.Win32.Agent.gen;木马程序;08/10/2018 19:57:01
10.08.2018 19.57.01;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(4).exe;C:\Users\Administrator\Desktop\123\0810(4).exe;HEUR:Backdoor.MSIL.Agent.gen;木马程序;08/10/2018 19:57:01
10.08.2018 19.57.00;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(3).exe;C:\Users\Administrator\Desktop\123\0810(3).exe;HEUR:Trojan.Win32.Agent.gen;木马程序;08/10/2018 19:57:00
10.08.2018 19.57.00;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(19).exe;C:\Users\Administrator\Desktop\123\0810(19).exe;HEUR:Trojan.Win32.Generic;木马程序;08/10/2018 19:57:00
10.08.2018 19.57.00;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(6).exe;C:\Users\Administrator\Desktop\123\0810(6).exe;HEUR:Trojan.Win32.Agent.gen;木马程序;08/10/2018 19:57:00
10.08.2018 19.57.00;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(18).exe;C:\Users\Administrator\Desktop\123\0810(18).exe;HEUR:Trojan.Win32.Generic;木马程序;08/10/2018 19:57:00
10.08.2018 19.56.59;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(7).exe;C:\Users\Administrator\Desktop\123\0810(7).exe;HEUR:Trojan.MSIL.Agent.gen;木马程序;08/10/2018 19:56:59
10.08.2018 19.56.59;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(17).exe;C:\Users\Administrator\Desktop\123\0810(17).exe;HEUR:Trojan.Win32.Agent.gen;木马程序;08/10/2018 19:56:59
10.08.2018 19.56.59;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(14).exe;C:\Users\Administrator\Desktop\123\0810(14).exe;HEUR:Trojan.Win32.Agent.gen;木马程序;08/10/2018 19:56:59
10.08.2018 19.56.59;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(12).exe;C:\Users\Administrator\Desktop\123\0810(12).exe;HEUR:Trojan.Win32.Agent.gen;木马程序;08/10/2018 19:56:59

剩余样本

双击剩余样本结果:

1号样本:双击直接退出.2号样本:缺少文件无法启动.
11号样本:双击停止工作
16号样本:双击驻留内存不停外联,但均被卡巴阻止.

显示全部楼层 · 发表于 2018-8-10 19:55:33

金山 19:52
(4/19) 21%
Forticlient 19:54
(6/19) 32%

显示全部楼层 · 发表于 2018-8-10 19:56:19

191196846 发表于 2018-8-10 19:41
是的

我看它行为奇奇gaygay , 就收下来了

大哥，那样本是我编的。其实很简单，只是杀软太垃圾了

显示全部楼层 · 发表于 2018-8-10 20:11:57

本帖最后由霄栋于 2018-8-10 20:13 编辑

今天来调戏国宝

Panda Dome Complete：
扫描+监控：1/19（移除12号样本）
虚拟机双击：0/19

让我们看看Panda与样本共存的“和谐”画面
清一色的低风险，但真的是低风险吗？

其中，
8 Panda删除衍生物（crypted.exe）
9 运行后删除自身
16 运行后删除自身

最后来一张进程监视器概况图：

机智如我，最后双击18号样本

虚拟机重启，Panda GG
Total Detection Rate：1/19=0.05%

显示全部楼层 · 发表于 2018-8-10 20:20:55

红伞

16/19=84%
剩2 8 13
大部分是APC杀的,刚才第一次查的时候,wifi刚好信号不好,只杀了4 5个好像,,,

后来换到wifi稳定的地方,只剩3个

显示全部楼层 · 发表于 2018-8-10 20:24:35

本帖最后由 B100D1E55 于 2018-8-10 21:11 编辑

2号是那个远控白加黑的白文件，原文件还有还有腾讯的有效签名。把这个样本杀掉的杀软是闹哪样……
而1号文件貌似也是个白文件，应该是一个ICP installer，里面的个人信息还包含一个和今年菲尔兹奖得主之一在同一个institute的博士…………应该是典型的内部utility program被误报

我觉得掺点白文件挺有趣的，看看哪家大水货黑白不分天天搞清空

ESET扫描剩余1，2，7，11，其中7和11在2分钟后被云端神经网络引擎检测为恶意杀掉了，剩余两个判白

[病毒样本] #PACKAGE 0810

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源