#PACKAGE 0815

显示全部楼层 · 发表于 2018-8-15 18:59:20

本帖最后由 191196846 于 2018-8-15 19:03 编辑

蓝奏

Total : 27

#勿传VT
#在样本有效期内（24小时），建议无需手动上报样本至厂商，便于其他人测试行为拦截，响应速度等
#样本序号以收集时间顺序排序，越大代表越接近现在时间

#原始样本在ESET LiveGrid 云系统被发现的时间

虚拟机网络有些问题，Reputation 和 numbers of users 显示不出

回帖格式建议

杀软名称 + 时间
查杀数量+查杀率

例如：
XXX 20:39
Samples(5/10) 50%

显示全部楼层 · 发表于 2018-8-15 18:59:49

本帖最后由静影沉璧于 2018-8-15 19:09 编辑

BD2019 19:02-19:08：
扫描：
C:\Users\Administrator\Desktop\0815\0815(13).exe Trojan.GenericKD.40400825 Deleted
C:\Users\Administrator\Desktop\0815\0815(25).exe Trojan.GenericKD.40401322 Deleted
C:\Users\Administrator\Desktop\0815\0815(7).exe Trojan.Delf.QGD Deleted
C:\Users\Administrator\Desktop\0815\0815(8).exe Trojan.GenericKD.40401349 Deleted
C:\Users\Administrator\Desktop\0815\0815(24).exe Trojan.GenericKD.40399464 Deleted
C:\Users\Administrator\Desktop\0815\0815(6).exe Trojan.GenericKD.40401265 Deleted
C:\Users\Administrator\Desktop\0815\0815(1).exe Trojan.GenericKD.40401667 Deleted
C:\Users\Administrator\Desktop\0815\0815(27).exe Trojan.GenericKD.40400670 Deleted
C:\Users\Administrator\Desktop\0815\0815(20).exe Gen:Variant.Razy.377694 Deleted
C:\Users\Administrator\Desktop\0815\0815(4).exe Gen:Heur.PonyStealer.3 Deleted
C:\Users\Administrator\Desktop\0815\0815(18).exe Trojan.GenericKD.40401329 Deleted
C:\Users\Administrator\Desktop\0815\0815(5).exe Gen:Variant.Zusy.259769 Deleted
C:\Users\Administrator\Desktop\0815\0815(12).exe Gen:Variant.Zusy.193857 Deleted
C:\Users\Administrator\Desktop\0815\0815(19).exe Trojan.Delf.QGD Deleted
C:\Users\Administrator\Desktop\0815\0815(17).exe Trojan.Agent.DDDZ Deleted
C:\Users\Administrator\Desktop\0815\0815(21).exe Trojan.GenericKD.40400298 Deleted
C:\Users\Administrator\Desktop\0815\0815(10).exe Gen:Heur.PonyStealer.3 Deleted
C:\Users\Administrator\Desktop\0815\0815(22).exe Gen:Suspicious.Cloud.8.Dm1@aaWKaQhi Deleted
C:\Users\Administrator\Desktop\0815\0815(16).exe Generic.DataStealer.1.EFFB37A6 Deleted
C:\Users\Administrator\Desktop\0815\0815(23).exe Gen:Suspicious.Cloud.8.Dm1@aGhvhymi Deleted
C:\Users\Administrator\Desktop\0815\0815(11).exe Trojan.Delf.QGD Deleted
C:\Users\Administrator\Desktop\0815\0815(15).exe Gen:Variant.Strictor.167477 Deleted
双击：
成功防御：
The file c:\users\administrator\desktop\0815\0815(2).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\0815\0815(3).exe is infected with Gen:Suspicious.Cloud.8.Pq1@aG0kIdli and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\0815\0815(9).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\0815\0815(14).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\0815\0815(26).exe is infected with Gen:Suspicious.Cloud.8.Bm1@aG93Nyji and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
Total：27/27=100%

显示全部楼层 · 发表于 2018-8-15 19:00:09

本帖最后由 BE_HC 于 2018-8-15 19:33 编辑

Norton 19:01
剩余8个样本，19/27≈70%

19:24重新扫描剩余样本干掉(11)号

沙箱内双击测试SONAR:
0815(1).exe 威胁名称: SONAR.Heuristic.170

0815(3).exe 威胁名称: SONAR.ProcHijack!g11

0815(4).exe 威胁名称: SONAR.Heuristic.170

0815(8).exe 威胁名称: SONAR.Hacktool!gen3

0815(24).exe 威胁名称: SONAR.Heuristic.170

0815(27).exe 威胁名称: SONAR.Heuristic.170

19:33 27/27=100%

显示全部楼层 · 发表于 2018-8-15 19:21:59

本帖最后由静影沉璧于 2018-8-15 20:10 编辑

avast高级版
扫描：2/27
双击：
Avast DeepScreen拦截：
2号样本
20号样本
24号样本
文件防护拦截：
3号样本
6号样本
7号样本
11号样本
13号样本
15号样本
17号样本
19号样本
21号样本
25号样本
26号样本
27号样本
剩余样本双击情况：
1号样本驻留内存
4号样本触发扫描后放行，后被勒索软件防护阻止，本体未杀
8号，23号样本运行后停止工作
12，14，18，22号样本触发扫描后放行
Total：20/27 74.1%
PS：这次小a的IDP貌似不太灵敏啊

显示全部楼层 · 发表于 2018-8-15 19:33:30

本帖最后由 YU2711 于 2018-8-15 20:44 编辑

SEP扫描19:31
24/27
(1.14.27)
双击
(1)SONAR.Heuristic.159
(14)SONAR.Heuristic.159
(27)SONAR.ProcHijack!g21(本体跟appdata\roaming\vcmasd\0916(28)
27/27

关闭启发14/27
(1)SONAR.Heuristic.159
(2)miss(IPS拦)
(3)SONAR.SuspBeh!gen25 SONAR.SuspDataRun
(5)SONAR.Heuristic.159
(8)Miss(IPS拦)
(12)SONAR.Heuristic.159
(13)Miss 自删后IPS挡了5.6次
(14)SONAR.Heuristic.159
(15)SONAR.Heuristic.159(20)Miss(IPS拦)
(21)SONAR.Heuristic.159
(24)IPS拦截(样本自删)
(27ONAR.ProcHijack!g21 0916(28)

显示全部楼层 · 发表于 2018-8-15 19:39:32

本帖最后由 191196846 于 2018-8-15 20:17 编辑

√×√×√√× 发表于 2018-8-15 19:26
囧，数字国际版27个全部干掉，100%，虽然全是云拉黑

@360主动防御你们这种操作也太明显了点
这样算作弊了，你们想重蹈金山覆辙吗？

下次混几个白样本进去，等着你们出丑

显示全部楼层 · 发表于 2018-8-15 20:20:34

本帖最后由 √×√×√√× 于 2018-8-15 20:26 编辑

ELOHIM 发表于 2018-8-15 20:13
感谢大神解答。。
拉黑报法，我现在灵光一现，好有一比。
“孩子：我想去游泳。

囧，其实不用这么着急云拉黑，数字QVM引擎的成绩也还不错的，检测了23个囧囧可能蹲点的人急了点吧 @191196846

剩下4个样本我开始测双击主防

1号样本双击主防无反应，有进程驻留，虽然没看到有其他明显行为，但还是算防御失败

3号样本主防拦截，多次弹窗拦截后系统无异常

8号样本主防拦截，多次弹窗拦截后系统无异常

20号样本主防拦截，多次弹窗拦截后系统无异常

显示全部楼层 · 发表于 2018-8-15 19:09:28

本帖最后由静影沉璧于 2018-8-15 19:22 编辑

KIS19.0.0.1088(b)：扫描：15/27
15.08.2018 19.18.57 检测到的对象 ( 文件 ) 已删除 C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(19).exe 文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(19).exe 对象名称: HEUR:Trojan-PSW.Win32.Agent.gen 对象类型: 木马程序时间: 2018年8月15日星期三下午 07:18:57
15.08.2018 19.18.54 检测到的对象 ( 文件 ) 已删除 C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(17).exe 文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(17).exe 对象名称: HEUR:Trojan-PSW.Win32.Agent.gen 对象类型: 木马程序时间: 2018年8月15日星期三下午 07:18:54
15.08.2018 19.18.48 检测到的对象 ( 文件 ) 已删除 C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(7).exe 文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(7).exe 对象名称: HEUR:Trojan-PSW.Win32.Agent.gen 对象类型: 木马程序时间: 2018年8月15日星期三下午 07:18:48
15.08.2018 19.18.39 检测到的对象 ( 文件 ) 已删除 C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(13).exe 文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(13).exe 对象名称: Trojan-Spy.Win32.Noon.qqn 对象类型: 木马程序时间: 2018年8月15日星期三下午 07:18:39
15.08.2018 19.18.31 检测到的对象 ( 文件 ) 已删除 C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(6).exe 文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(6).exe 对象名称: HEUR:Trojan-PSW.Win32.Agent.gen 对象类型: 木马程序时间: 2018年8月15日星期三下午 07:18:31
15.08.2018 19.18.27 检测到的对象 ( 文件 ) 已删除 C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(11).exe 文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(11).exe 对象名称: HEUR:Trojan-PSW.Win32.Agent.gen 对象类型: 木马程序时间: 2018年8月15日星期三下午 07:18:27
15.08.2018 19.18.22 检测到的对象 ( 文件 ) 已删除 C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(25).exe 文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(25).exe 对象名称: HEUR:Trojan-PSW.Win32.Agent.gen 对象类型: 木马程序时间: 2018年8月15日星期三下午 07:18:22
15.08.2018 19.16.45 检测到的对象 ( 文件 ) 已删除 C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(1).exe 文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(1).exe 对象名称: HEUR:Trojan.Win32.Generic 对象类型: 木马程序时间: 2018年8月15日星期三下午 07:16:45
15.08.2018 19.12.49 检测到的对象 ( 文件 ) 已删除 C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(5).exe//confuserExExtractedData//data0002.res 文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(5).exe//confuserExExtractedData//data0002.res 对象名称: not-a-virus:PSWTool.Win32.MailPassView.vqg 对象类型: 可被入侵者利用以破坏您的计算机或个人数据的合法软件时间: 2018年8月15日星期三下午 07:12:49
15.08.2018 19.12.49 检测到的对象 ( 文件 ) 已删除 C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(5).exe//confuserExExtractedData//data0001.res 文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(5).exe//confuserExExtractedData//data0001.res 对象名称: not-a-virus:HEUR:PSWTool.Win32.NetPass.gen 对象类型: 可被入侵者利用以破坏您的计算机或个人数据的合法软件时间: 2018年8月15日星期三下午 07:12:49
15.08.2018 19.12.49 检测到的对象 ( 文件 ) 已删除 C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(5).exe 文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(5).exe 对象名称: HEUR:Trojan.Win32.Generic 对象类型: 木马程序时间: 2018年8月15日星期三下午 07:12:49
15.08.2018 19.12.48 检测到的对象 ( 文件 ) 已删除 C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(26).exe 文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(26).exe 对象名称: Trojan-PSW.Win32.Fareit.ehjw 对象类型: 木马程序时间: 2018年8月15日星期三下午 07:12:48
15.08.2018 19.12.48 检测到的对象 ( 文件 ) 已删除 C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(24).exe 文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(24).exe 对象名称: Trojan-PSW.Win32.Fareit.ehls 对象类型: 木马程序时间: 2018年8月15日星期三下午 07:12:48
15.08.2018 19.12.47 检测到的对象 ( 文件 ) 已删除 C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(21).exe 文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(21).exe 对象名称: Trojan.Win32.VBKrypt.ztjr 对象类型: 木马程序时间: 2018年8月15日星期三下午 07:12:47
15.08.2018 19.12.47 检测到的对象 ( 文件 ) 已删除 C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(16).exe 文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(16).exe 对象名称: Trojan.Win32.Informer.i 对象类型: 木马程序时间: 2018年8月15日星期三下午 07:12:47
15.08.2018 19.12.47 检测到的对象 ( 文件 ) 已删除 C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(20).exe 文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(20).exe 对象名称: HEUR:Trojan-Downloader.Win32.Agent.gen 对象类型: 木马程序时间: 2018年8月15日星期三下午 07:12:47
15.08.2018 19.12.47 检测到的对象 ( 文件 ) 已删除 C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(15).exe 文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(15).exe 对象名称: HEUR:Trojan.MSIL.Agent.gen 对象类型: 木马程序时间: 2018年8月15日星期三下午 07:12:47

显示全部楼层 · 发表于 2018-8-15 19:21:41

本帖最后由 191196846 于 2018-8-15 20:43 编辑

Malwarebytes

23/27

Malwarebytes
www.malwarebytes.com
-Log Details-
Scan Date: 8/15/18
Scan Time: 7:22 PM
Log File: 7ead0080-a07d-11e8-8b27-985fd3d3c7d2.json
Administrator: Yes
-Software Information-
Version: 3.5.1.2522
Components Version: 1.0.391
Update Package Version: 1.0.6355
License: Premium
-System Information-
OS: Windows 10 (Build 17134.191)
CPU: x64
File System: NTFS
User: DESKTOP-VPBE70N\zhong
-Scan Summary-
Scan Type: Custom Scan
Scan Initiated By: Manual
Result: Completed
Objects Scanned: 27
Threats Detected: 23
Threats Quarantined: 23
Time Elapsed: 0 min, 22 sec
-Scan Options-
Memory: Disabled
Startup: Disabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Detect
PUM: Detect
-Scan Details-
Process: 0
(No malicious items detected)
Module: 0
(No malicious items detected)
Registry Key: 0
(No malicious items detected)
Registry Value: 0
(No malicious items detected)
Registry Data: 0
(No malicious items detected)
Data Stream: 0
(No malicious items detected)
Folder: 0
(No malicious items detected)
File: 23
Trojan.Yakes, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(1).EXE, Quarantined, [8139], [552464],1.0.6355
Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(11).EXE, Quarantined, [3566], [552483],1.0.6355
Trojan.MalPack, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(12).EXE, Quarantined, [4155], [359735],1.0.6355
Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(13).EXE, Quarantined, [3566], [552436],1.0.6355
Spyware.AzorUlt, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(16).EXE, Quarantined, [7857], [512233],1.0.6355
Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(17).EXE, Quarantined, [3566], [552515],1.0.6355
Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(18).EXE, Quarantined, [3566], [552523],1.0.6355
Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(19).EXE, Quarantined, [3566], [552483],1.0.6355
Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(2).EXE, Quarantined, [3566], [552436],1.0.6355
Trojan.MalPack.VB, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(21).EXE, Quarantined, [8258], [552215],1.0.6355
Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(22).EXE, Quarantined, [3566], [552436],1.0.6355
Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(23).EXE, Quarantined, [3566], [552436],1.0.6355
Trojan.MalPack.VB, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(24).EXE, Quarantined, [8258], [552406],1.0.6355
Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(25).EXE, Quarantined, [3566], [552515],1.0.6355
Trojan.MalPack.VB, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(26).EXE, Quarantined, [8258], [551678],1.0.6355
Spyware.InfoStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(27).EXE, Quarantined, [4211], [552344],1.0.6355
Spyware.HawkEyeKeyLogger, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(5).EXE, Quarantined, [6501], [551840],1.0.6355
Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(6).EXE, Quarantined, [3566], [552483],1.0.6355
Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(7).EXE, Quarantined, [3566], [552483],1.0.6355
MachineLearning/Anomalous.97%, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(10).EXE, Quarantined, [0], [392687],1.0.6355
MachineLearning/Anomalous.95%, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(15).EXE, Quarantined, [0], [392687],1.0.6355
MachineLearning/Anomalous.97%, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(4).EXE, Quarantined, [0], [392687],1.0.6355
MachineLearning/Anomalous.96%, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(8).EXE, Quarantined, [0], [392687],1.0.6355
Physical Sector: 0
(No malicious items detected)
WMI: 0
(No malicious items detected)
(end)

复制代码

20:43 24/27

显示全部楼层 · 发表于 2018-8-15 19:26:26

本帖最后由 √×√×√√× 于 2018-8-15 20:27 编辑

囧，数字国际版27个全部干掉，100%，虽然全是云拉黑，去云拉黑的QVM检测结果和双击测试在21楼

显示全部楼层 · 发表于 2018-8-15 19:31:03

本帖最后由 command360 于 2018-8-15 19:32 编辑

火绒 19:32
右键扫描：13/27 48.1%

显示全部楼层 · 发表于 2018-8-15 19:33:44

本帖最后由菜鸟一个0 于 2018-8-15 20:12 编辑

X-SEC反病毒 4/27.
360 ：27/27.
修改md5并添加自签名证书：360：12/27，卡巴18/27

[病毒样本] #PACKAGE 0815

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

评分

评分

评分

本帖子中包含更多资源

评分