查看: 3776|回复: 37
收起左侧

[病毒样本] #PACKAGE 0810

  [复制链接]
Jerry.Lin
发表于 2018-8-10 19:03:02 | 显示全部楼层 |阅读模式
本帖最后由 191196846 于 2018-8-10 22:27 编辑

FP:
0810(1).exe
0810(2).exe
==============


蓝奏

Total : 19


#勿传VT
#在样本有效期内(24小时),建议无需手动上报样本至厂商,便于其他人测试行为拦截,响应速度等
#样本序号以收集时间顺序排序,越大代表越接近现在时间



#样本新鲜,建议尽快食用,凉了就不好吃了~




回帖格式建议


杀软名称 + 时间
查杀数量+查杀率


例如:
XXX 20:39
Samples(5/10) 50%

评分

参与人数 2人气 +11 收起 理由
wangkaka + 3 版区有你更精彩: )
温馨小屋 + 8 版区有你更精彩: )

查看全部评分

静影沉璧
发表于 2018-8-10 19:03:47 | 显示全部楼层
本帖最后由 静影沉璧 于 2018-8-10 19:33 编辑

BD 19:06 实机:扫描6/19
双击7/19
Total:13/19=68.4%
剩余样本中,8,13,14只杀衍生物,剩余无法正常运行
PS:最有意思的是18号样本,和上次那个把日期改成8888/8/8的样本极为相似

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Jerry.Lin
 楼主| 发表于 2018-8-10 19:41:19 | 显示全部楼层
静影沉璧 发表于 2018-8-10 19:03
BD 19:06 实机:扫描6/19
双击7/19
Total:13/19=68.4%

是的

我看它行为奇奇gaygay , 就收下来了
YU2711
发表于 2018-8-10 19:46:15 | 显示全部楼层
SEP  监控+扫描 14/19   19:21
余2.5.6.16.19.exe
双击:
(2):缺少dll
(5):驻内存退后联网自自删本体(防火墙拦截)
(6):SONAR.Heuristic.159
(16):驻内存退后联网自自删本(防火墙拦截)
(19):SONAR.Heuristic.159


TOTAL:16/19
dreams521
发表于 2018-8-10 19:54:12 | 显示全部楼层
本帖最后由 dreams521 于 2018-8-10 20:24 编辑

卡巴  19:56  10/19=52.6%


10.08.2018 19.57.01;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(5).exe;C:\Users\Administrator\Desktop\123\0810(5).exe;HEUR:Trojan.Win32.Agent.gen;木马程序;08/10/2018 19:57:01
10.08.2018 19.57.01;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(4).exe;C:\Users\Administrator\Desktop\123\0810(4).exe;HEUR:Backdoor.MSIL.Agent.gen;木马程序;08/10/2018 19:57:01
10.08.2018 19.57.00;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(3).exe;C:\Users\Administrator\Desktop\123\0810(3).exe;HEUR:Trojan.Win32.Agent.gen;木马程序;08/10/2018 19:57:00
10.08.2018 19.57.00;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(19).exe;C:\Users\Administrator\Desktop\123\0810(19).exe;HEUR:Trojan.Win32.Generic;木马程序;08/10/2018 19:57:00
10.08.2018 19.57.00;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(6).exe;C:\Users\Administrator\Desktop\123\0810(6).exe;HEUR:Trojan.Win32.Agent.gen;木马程序;08/10/2018 19:57:00
10.08.2018 19.57.00;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(18).exe;C:\Users\Administrator\Desktop\123\0810(18).exe;HEUR:Trojan.Win32.Generic;木马程序;08/10/2018 19:57:00
10.08.2018 19.56.59;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(7).exe;C:\Users\Administrator\Desktop\123\0810(7).exe;HEUR:Trojan.MSIL.Agent.gen;木马程序;08/10/2018 19:56:59
10.08.2018 19.56.59;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(17).exe;C:\Users\Administrator\Desktop\123\0810(17).exe;HEUR:Trojan.Win32.Agent.gen;木马程序;08/10/2018 19:56:59
10.08.2018 19.56.59;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(14).exe;C:\Users\Administrator\Desktop\123\0810(14).exe;HEUR:Trojan.Win32.Agent.gen;木马程序;08/10/2018 19:56:59
10.08.2018 19.56.59;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0810(12).exe;C:\Users\Administrator\Desktop\123\0810(12).exe;HEUR:Trojan.Win32.Agent.gen;木马程序;08/10/2018 19:56:59


剩余样本


双击剩余样本结果:

1号样本:双击直接退出.2号样本:缺少文件无法启动.
11号样本:双击停止工作
16号样本:双击驻留内存不停外联,但均被卡巴阻止.



  







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
dongwenqi + 1 版区有你更精彩: )

查看全部评分

梦想起航.
发表于 2018-8-10 19:55:33 | 显示全部楼层
金山 19:52
(4/19) 21%
Forticlient 19:54
(6/19) 32%
记录微笑
发表于 2018-8-10 19:56:19 | 显示全部楼层
191196846 发表于 2018-8-10 19:41
是的

我看它行为奇奇gaygay , 就收下来了

大哥,那样本是我编的。其实很简单,只是杀软太垃圾了
Sailer.X 该用户已被删除
发表于 2018-8-10 20:11:57 | 显示全部楼层
本帖最后由 霄栋 于 2018-8-10 20:13 编辑

今天来调戏国宝

Panda Dome Complete:
扫描+监控:1/19(移除12号样本)
虚拟机双击:0/19
让我们看看Panda与样本共存的“和谐”画面
清一色的低风险,但真的是低风险吗?







其中,
8 Panda删除衍生物(crypted.exe)
9 运行后删除自身
16 运行后删除自身


最后来一张进程监视器概况图:


机智如我,最后双击18号样本
虚拟机重启,Panda GG
Total Detection Rate:1/19=0.05%




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Severn'
发表于 2018-8-10 20:20:55 | 显示全部楼层
红伞

16/19=84%
剩2 8 13
大部分是APC杀的,刚才第一次查的时候,wifi刚好信号不好,只杀了4 5个好像,,,

后来换到wifi稳定的地方,只剩3个
B100D1E55
发表于 2018-8-10 20:24:35 | 显示全部楼层
本帖最后由 B100D1E55 于 2018-8-10 21:11 编辑

2号是那个远控白加黑的白文件,原文件还有还有腾讯的有效签名。把这个样本杀掉的杀软是闹哪样……
而1号文件貌似也是个白文件,应该是一个ICP installer,里面的个人信息还包含一个和今年菲尔兹奖得主之一在同一个institute的博士…………应该是典型的内部utility program被误报

我觉得掺点白文件挺有趣的,看看哪家大水货黑白不分天天搞清空

ESET扫描剩余1,2,7,11,其中7和11在2分钟后被云端神经网络引擎检测为恶意杀掉了,剩余两个判白
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:03 , Processed in 0.145537 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表