收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 #PACKAGE 0812
1234下一页
返回列表 发新帖
楼主: Jerry.Lin
 收起左侧

[病毒样本] #PACKAGE 0812

[复制链接]
Jerry.Lin
 楼主| 发表于 2018-8-12 21:00:37 | 显示全部楼层
本帖最后由 191196846 于 2018-8-12 21:01 编辑
275751198 发表于 2018-8-12 20:38
大哥你真的想多了,这是纯纯的想多了。楼主是混国外杀软区的,对火绒不感兴趣。再说楼主要筛选也得用楼主 ...

WD的分类系统参考性也很高,但一个新样本从云拉黑到入库到分类至少要3,4 天时间,有些甚至要1个月(unpopular),在这之前都是没有办法做到的;因此WD作为分类参考只能对老旧样本有效

这次样本质量不如以往,但好歹也是24小时内的
回复

举报

c/mm
头像被屏蔽
发表于 2018-8-12 21:53:14 | 显示全部楼层
大蜘蛛剩余

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

WhiteCruel
发表于 2018-8-12 23:23:15 | 显示全部楼层
温馨小屋 发表于 2018-8-12 19:46
ESET

第一次在样本区看到ESET的勒索防护模块
回复

举报

温馨小屋
头像被屏蔽
发表于 2018-8-12 23:29:13 | 显示全部楼层
WhiteCruel 发表于 2018-8-12 23:23
第一次在样本区看到ESET的勒索防护模块

我也是第一次见,我一直都以为过了引擎和AMS的话ESET就完蛋了
回复

举报

B100D1E55
发表于 2018-8-12 23:32:20 | 显示全部楼层
温馨小屋 发表于 2018-8-12 23:29
我也是第一次见,我一直都以为过了引擎和AMS的话ESET就完蛋了

其实ams后续还有勒索护盾和僵尸网络检测,锁库测试中后者对emotet之类的检出率其实很不错
回复

举报

wangkaka
发表于 2018-8-12 23:38:42 | 显示全部楼层
B100D1E55 发表于 2018-8-12 23:32
其实ams后续还有勒索护盾和僵尸网络检测,锁库测试中后者对emotet之类的检出率其实很不错

以前锁库测试,eset的僵尸网络防护很不错
回复

举报

小飞侠.net
发表于 2018-8-13 08:02:05 | 显示全部楼层
本帖最后由 小飞侠.net 于 2018-8-13 08:24 编辑



Dr.Web CureIt! 简体中文绿色免费版---( Windows 7 Ultimate with SP1 简体中文旗舰版....):

-----------------------------------------------------------------------------
Start scanning
-----------------------------------------------------------------------------
Command line used:-rpcep:\pipe\B29CC39E4 -rpcpr:np

Limit the use of the computer resources to 100%
Instances used for this session: 10
Object(s) to scan:
- C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803


C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(2).exe - infected with BackDoor.Bladabindi.13678
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(2).exe - infected
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(10).exe - infected with Trojan.Nanocore.23
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(10).exe - infected
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(5).exe - infected with BackDoor.Tordev.976
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(5).exe - infected
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(4).exe is BINARYRES container
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(4).exe\data001 is NET container
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(4).exe\data003 is NET container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(4).exe - container
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(9).exe is NSIS container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(6).exe - infected with Trojan.Siggen7.30436
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(6).exe - infected
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(9).exe - container
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(12).exe is BINARYRES container
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(12).exe\data001 is NET container
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(12).exe\data003 is NET container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(12).exe - container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(8).exe - infected with Trojan.SpyBot.699
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(8).exe - infected
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(3).exe - infected with Trojan.KeyLogger.37872
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(3).exe - infected
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(11).exe - packed by FLY-CODE
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(1).exe is CAB archive
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(1).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(1).exe - archive
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(7).exe is CAB archive
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(7).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(7).exe - archive
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(11).exe - Ok
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(13).exe is AUTOIT container
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(13).exe\Users\renan\AppData\Local\Temp\autA0F6.tmp - packed by ASCRIPT
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(13).exe\Users\renan\Desktop\Encrypted.exe - infected with Trojan.DownLoader26.48981
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812Limita0803\0812(13).exe - infected container

Total 27453904 bytes in 13 files scanned (33 objects)
Total 6 files (25 objects) are clean
Total 7 files are infected
Scan time is 00:00:07.707



火绒安全---( Windows 7 Ultimate with SP1 简体中文旗舰版....):部分未知文件已发送到seclab@huorong.cn,等处理中。。。

病毒库:2018-08-12 15:49
开始时间:2018-08-13 07:59
总计用时:00:00:17
扫描对象:295个
扫描文件:13个
发现风险:6个
已处理风险:0个
发现系统修复项:0个
处理系统修复项:0个

病毒详情

风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812\0812(1).exe, 病毒名:Trojan/Generic!BDC48C08F5DBE19C, 病毒ID:[bdc48c08f5dbe19c], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812\0812(10).exe, 病毒名:Backdoor/Nanocore, 病毒ID:[72d284c62aeeb6cf], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812\0812(2).exe, 病毒名:Backdoor/Bladabindi.l, 病毒ID:[7debbd141a975060], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812\0812(3).exe, 病毒名:Trojan/Limital.a, 病毒ID:[5377e091177b5184], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812\0812(5).exe, 病毒名:Backdoor/Fynloski.a, 病毒ID:[853f2ad2e234ab95], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812\0812(8).exe, 病毒名:HEUR:VirTool/Obfuscator.gen!B, 病毒ID:[2d18551aef762f90], 处理结果:已忽略

文件名称: C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0812.zip
文件大小: 23.6 MB (24,764,777 字节)
修改时间: 2018年08月13日,07:51:58
MD5: 80F7CE1F19DD23FA0CEA768BE7167E0D
SHA1: DE5DCC83B6B21B1F6ECB31EAA62240F316416290
SHA256: 52525598DA08FAF01075E7905703528EAAF64941507E2F82E3477E0E79973DBD
CRC32: F9B8B101
计算时间: 0.28s

回复

举报

Sailer.X 该用户已被删除
发表于 2018-8-13 12:31:19 | 显示全部楼层
本帖最后由 霄栋 于 2018-8-13 12:58 编辑
静影沉璧 发表于 2018-8-12 19:40
avast高级版 19:49 虚拟机:
扫描:7/13
双击:

实机测试,11号样本触发DS 15秒检测,avast提示未找到风险。样本在\AppData\Roaming目录下释放info.exe,同样触发DS 15秒检测,avast提示未找到风险。原样本和info.exe占用大量CPU,IDP全程无响应。查看目录,大量文件被加密,后缀名.rapid。测试期间使用代li,网络正常,可触发avast云杀(FRM报法)。

衍生物info.exe(密码:infected):
https://www.lanzous.com/i1n0ogj

回复

举报

静影沉璧
发表于 2018-8-13 12:49:23 | 显示全部楼层
霄栋 发表于 2018-8-13 12:31
实机测试,11号样本触发DS 15秒检测,avast提示未找到风险。样本在\AppData\Roaming目录下释放info.exe, ...

虚拟机又跑了一遍,依然是防住的,也没有成功释放info.exe,如果开静默模式直接移到隔离区,测试环境问题?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Sailer.X 该用户已被删除
发表于 2018-8-13 12:57:29 | 显示全部楼层
静影沉璧 发表于 2018-8-13 12:49
虚拟机又跑了一遍,依然是防住的,也没有成功释放info.exe,如果开静默模式直接移到隔离区,测试环境问题 ...

不清楚,但我这里确实没有防住。IDP没有出现,只触发了DS,检测完自动放行后,就释放了info.exe。C盘有10674个文件被加密,其它盘还未统计。估计加密数据可能有上百GB吧(包括我所有的虚拟机镜像、系统镜像等)。你双击info.exe看能否拦截?
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-27 13:09 , Processed in 0.100012 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表