#PACKAGE 0815

Jerry.Lin

蓝奏

Total : 27


#勿传VT
#在样本有效期内（24小时），建议无需手动上报样本至厂商，便于其他人测试行为拦截，响应速度等
#样本序号以收集时间顺序排序，越大代表越接近现在时间


#原始样本在ESET LiveGrid 云系统 被发现的时间

虚拟机网络有些问题，Reputation 和 numbers of users 显示不出




回帖格式建议

杀软名称 + 时间
查杀数量+查杀率


例如：
XXX 20:39
Samples(5/10) 50%

静影沉璧

BD2019 19:02-19:08：
扫描：
C:\Users\Administrator\Desktop\0815\0815(13).exe Trojan.GenericKD.40400825 Deleted
C:\Users\Administrator\Desktop\0815\0815(25).exe Trojan.GenericKD.40401322 Deleted
C:\Users\Administrator\Desktop\0815\0815(7).exe Trojan.Delf.QGD Deleted
C:\Users\Administrator\Desktop\0815\0815(8).exe Trojan.GenericKD.40401349 Deleted
C:\Users\Administrator\Desktop\0815\0815(24).exe Trojan.GenericKD.40399464 Deleted
C:\Users\Administrator\Desktop\0815\0815(6).exe Trojan.GenericKD.40401265 Deleted
C:\Users\Administrator\Desktop\0815\0815(1).exe Trojan.GenericKD.40401667 Deleted
C:\Users\Administrator\Desktop\0815\0815(27).exe Trojan.GenericKD.40400670 Deleted
C:\Users\Administrator\Desktop\0815\0815(20).exe Gen:Variant.Razy.377694 Deleted
C:\Users\Administrator\Desktop\0815\0815(4).exe Gen:Heur.PonyStealer.3 Deleted
C:\Users\Administrator\Desktop\0815\0815(18).exe Trojan.GenericKD.40401329 Deleted
C:\Users\Administrator\Desktop\0815\0815(5).exe Gen:Variant.Zusy.259769 Deleted
C:\Users\Administrator\Desktop\0815\0815(12).exe Gen:Variant.Zusy.193857 Deleted
C:\Users\Administrator\Desktop\0815\0815(19).exe Trojan.Delf.QGD Deleted
C:\Users\Administrator\Desktop\0815\0815(17).exe Trojan.Agent.DDDZ Deleted
C:\Users\Administrator\Desktop\0815\0815(21).exe Trojan.GenericKD.40400298 Deleted
C:\Users\Administrator\Desktop\0815\0815(10).exe Gen:Heur.PonyStealer.3 Deleted
C:\Users\Administrator\Desktop\0815\0815(22).exe Gen:Suspicious.Cloud.8.Dm1@aaWKaQhi Deleted
C:\Users\Administrator\Desktop\0815\0815(16).exe Generic.DataStealer.1.EFFB37A6 Deleted
C:\Users\Administrator\Desktop\0815\0815(23).exe Gen:Suspicious.Cloud.8.Dm1@aGhvhymi Deleted
C:\Users\Administrator\Desktop\0815\0815(11).exe Trojan.Delf.QGD Deleted
C:\Users\Administrator\Desktop\0815\0815(15).exe Gen:Variant.Strictor.167477 Deleted
双击：
成功防御：
The file c:\users\administrator\desktop\0815\0815(2).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\0815\0815(3).exe is infected with Gen:Suspicious.Cloud.8.Pq1@aG0kIdli and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\0815\0815(9).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\0815\0815(14).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\0815\0815(26).exe is infected with Gen:Suspicious.Cloud.8.Bm1@aG93Nyji and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
Total：27/27=100%

BE_HC

Norton 19:01
剩余8个样本，19/27≈70%

19:24重新扫描剩余样本干掉(11)号

沙箱内双击测试SONAR:
0815(1).exe 威胁名称: SONAR.Heuristic.170

0815(3).exe 威胁名称: SONAR.ProcHijack!g11


0815(4).exe 威胁名称: SONAR.Heuristic.170


0815(8).exe 威胁名称: SONAR.Hacktool!gen3

0815(24).exe 威胁名称: SONAR.Heuristic.170

0815(27).exe 威胁名称: SONAR.Heuristic.170

19:33 27/27=100%

静影沉璧

avast高级版
扫描：2/27
双击：
Avast DeepScreen拦截：
2号样本
20号样本
24号样本
文件防护拦截：
3号样本
6号样本
7号样本
11号样本
13号样本
15号样本
17号样本
19号样本
21号样本
25号样本
26号样本
27号样本
剩余样本双击情况：
1号样本驻留内存
4号样本触发扫描后放行，后被勒索软件防护阻止，本体未杀
8号，23号样本运行后停止工作
12，14，18，22号样本触发扫描后放行
Total：20/27 74.1%
PS：这次小a的IDP貌似不太灵敏啊

YU2711

SEP扫描19:31
24/27
(1.14.27)
双击
(1)SONAR.Heuristic.159
(14)SONAR.Heuristic.159
(27)SONAR.ProcHijack!g21(本体跟appdata\roaming\vcmasd\0916(28)
27/27

关闭启发14/27
(1)SONAR.Heuristic.159
(2)miss(IPS拦)
(3)SONAR.SuspBeh!gen25  SONAR.SuspDataRun
(5)SONAR.Heuristic.159
(8)Miss(IPS拦)
(12)SONAR.Heuristic.159
(13)Miss 自删后IPS挡了5.6次
(14)SONAR.Heuristic.159
(15)SONAR.Heuristic.159(20)Miss(IPS拦)
(21)SONAR.Heuristic.159
(24)IPS拦截(样本自删)
(27ONAR.ProcHijack!g21  0916(28)

Jerry.Lin

√×√×√√× 发表于 2018-8-15 19:26
囧，数字国际版27个全部干掉，100%，虽然全是云拉黑

@360主动防御 你们这种操作也太明显了点
这样算作弊了，你们想重蹈金山覆辙吗？

下次混几个白样本进去，等着你们出丑

√×√×√√×

ELOHIM 发表于 2018-8-15 20:13
感谢大神解答。。
拉黑报法，我现在灵光一现，好有一比。
“孩子：我想去游泳。

囧，其实不用这么着急云拉黑，数字QVM引擎的成绩也还不错的，检测了23个 囧囧 可能蹲点的人急了点吧  @191196846



剩下4个样本我开始测双击主防



1号样本双击主防无反应，有进程驻留，虽然没看到有其他明显行为，但还是算防御失败


3号样本主防拦截，多次弹窗拦截后系统无异常



8号样本主防拦截，多次弹窗拦截后系统无异常




20号样本主防拦截，多次弹窗拦截后系统无异常

静影沉璧

KIS19.0.0.1088(b)：扫描：15/27
15.08.2018 19.18.57        检测到的对象 ( 文件 ) 已删除        C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(19).exe        文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(19).exe        对象名称: HEUR:Trojan-PSW.Win32.Agent.gen        对象类型: 木马程序        时间: 2018年8月15日 星期三 下午 07:18:57
15.08.2018 19.18.54        检测到的对象 ( 文件 ) 已删除        C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(17).exe        文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(17).exe        对象名称: HEUR:Trojan-PSW.Win32.Agent.gen        对象类型: 木马程序        时间: 2018年8月15日 星期三 下午 07:18:54
15.08.2018 19.18.48        检测到的对象 ( 文件 ) 已删除        C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(7).exe        文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(7).exe        对象名称: HEUR:Trojan-PSW.Win32.Agent.gen        对象类型: 木马程序        时间: 2018年8月15日 星期三 下午 07:18:48
15.08.2018 19.18.39        检测到的对象 ( 文件 ) 已删除        C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(13).exe        文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(13).exe        对象名称: Trojan-Spy.Win32.Noon.qqn        对象类型: 木马程序        时间: 2018年8月15日 星期三 下午 07:18:39
15.08.2018 19.18.31        检测到的对象 ( 文件 ) 已删除        C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(6).exe        文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(6).exe        对象名称: HEUR:Trojan-PSW.Win32.Agent.gen        对象类型: 木马程序        时间: 2018年8月15日 星期三 下午 07:18:31
15.08.2018 19.18.27        检测到的对象 ( 文件 ) 已删除        C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(11).exe        文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(11).exe        对象名称: HEUR:Trojan-PSW.Win32.Agent.gen        对象类型: 木马程序        时间: 2018年8月15日 星期三 下午 07:18:27
15.08.2018 19.18.22        检测到的对象 ( 文件 ) 已删除        C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(25).exe        文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(25).exe        对象名称: HEUR:Trojan-PSW.Win32.Agent.gen        对象类型: 木马程序        时间: 2018年8月15日 星期三 下午 07:18:22
15.08.2018 19.16.45        检测到的对象 ( 文件 ) 已删除        C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(1).exe        文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(1).exe        对象名称: HEUR:Trojan.Win32.Generic        对象类型: 木马程序        时间: 2018年8月15日 星期三 下午 07:16:45
15.08.2018 19.12.49        检测到的对象 ( 文件 ) 已删除        C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(5).exe//confuserExExtractedData//data0002.res        文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(5).exe//confuserExExtractedData//data0002.res        对象名称: not-a-virus:PSWTool.Win32.MailPassView.vqg        对象类型: 可被入侵者利用以破坏您的计算机或个人数据的合法软件        时间: 2018年8月15日 星期三 下午 07:12:49
15.08.2018 19.12.49        检测到的对象 ( 文件 ) 已删除        C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(5).exe//confuserExExtractedData//data0001.res        文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(5).exe//confuserExExtractedData//data0001.res        对象名称: not-a-virus:HEUR:PSWTool.Win32.NetPass.gen        对象类型: 可被入侵者利用以破坏您的计算机或个人数据的合法软件        时间: 2018年8月15日 星期三 下午 07:12:49
15.08.2018 19.12.49        检测到的对象 ( 文件 ) 已删除        C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(5).exe        文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(5).exe        对象名称: HEUR:Trojan.Win32.Generic        对象类型: 木马程序        时间: 2018年8月15日 星期三 下午 07:12:49
15.08.2018 19.12.48        检测到的对象 ( 文件 ) 已删除        C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(26).exe        文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(26).exe        对象名称: Trojan-PSW.Win32.Fareit.ehjw        对象类型: 木马程序        时间: 2018年8月15日 星期三 下午 07:12:48
15.08.2018 19.12.48        检测到的对象 ( 文件 ) 已删除        C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(24).exe        文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(24).exe        对象名称: Trojan-PSW.Win32.Fareit.ehls        对象类型: 木马程序        时间: 2018年8月15日 星期三 下午 07:12:48
15.08.2018 19.12.47        检测到的对象 ( 文件 ) 已删除        C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(21).exe        文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(21).exe        对象名称: Trojan.Win32.VBKrypt.ztjr        对象类型: 木马程序        时间: 2018年8月15日 星期三 下午 07:12:47
15.08.2018 19.12.47        检测到的对象 ( 文件 ) 已删除        C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(16).exe        文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(16).exe        对象名称: Trojan.Win32.Informer.i        对象类型: 木马程序        时间: 2018年8月15日 星期三 下午 07:12:47
15.08.2018 19.12.47        检测到的对象 ( 文件 ) 已删除        C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(20).exe        文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(20).exe        对象名称: HEUR:Trojan-Downloader.Win32.Agent.gen        对象类型: 木马程序        时间: 2018年8月15日 星期三 下午 07:12:47
15.08.2018 19.12.47        检测到的对象 ( 文件 ) 已删除        C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(15).exe        文件: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0815\0815(15).exe        对象名称: HEUR:Trojan.MSIL.Agent.gen        对象类型: 木马程序        时间: 2018年8月15日 星期三 下午 07:12:47

Jerry.Lin

Malwarebytes

23/27

1. Malwarebytes
   
2. www.malwarebytes.com
   
3. 
   
4. -Log Details-
   
5. Scan Date: 8/15/18
   
6. Scan Time: 7:22 PM
   
7. Log File: 7ead0080-a07d-11e8-8b27-985fd3d3c7d2.json
   
8. Administrator: Yes
   
9. 
   
10. -Software Information-
    
11. Version: 3.5.1.2522
    
12. Components Version: 1.0.391
    
13. Update Package Version: 1.0.6355
    
14. License: Premium
    
15. 
    
16. -System Information-
    
17. OS: Windows 10 (Build 17134.191)
    
18. CPU: x64
    
19. File System: NTFS
    
20. User: DESKTOP-VPBE70N\zhong
    
21. 
    
22. -Scan Summary-
    
23. Scan Type: Custom Scan
    
24. Scan Initiated By: Manual
    
25. Result: Completed
    
26. Objects Scanned: 27
    
27. Threats Detected: 23
    
28. Threats Quarantined: 23
    
29. Time Elapsed: 0 min, 22 sec
    
30. 
    
31. -Scan Options-
    
32. Memory: Disabled
    
33. Startup: Disabled
    
34. Filesystem: Enabled
    
35. Archives: Enabled
    
36. Rootkits: Disabled
    
37. Heuristics: Enabled
    
38. PUP: Detect
    
39. PUM: Detect
    
40. 
    
41. -Scan Details-
    
42. Process: 0
    
43. (No malicious items detected)
    
44. 
    
45. Module: 0
    
46. (No malicious items detected)
    
47. 
    
48. Registry Key: 0
    
49. (No malicious items detected)
    
50. 
    
51. Registry Value: 0
    
52. (No malicious items detected)
    
53. 
    
54. Registry Data: 0
    
55. (No malicious items detected)
    
56. 
    
57. Data Stream: 0
    
58. (No malicious items detected)
    
59. 
    
60. Folder: 0
    
61. (No malicious items detected)
    
62. 
    
63. File: 23
    
64. Trojan.Yakes, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(1).EXE, Quarantined, [8139], [552464],1.0.6355
    
65. Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(11).EXE, Quarantined, [3566], [552483],1.0.6355
    
66. Trojan.MalPack, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(12).EXE, Quarantined, [4155], [359735],1.0.6355
    
67. Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(13).EXE, Quarantined, [3566], [552436],1.0.6355
    
68. Spyware.AzorUlt, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(16).EXE, Quarantined, [7857], [512233],1.0.6355
    
69. Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(17).EXE, Quarantined, [3566], [552515],1.0.6355
    
70. Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(18).EXE, Quarantined, [3566], [552523],1.0.6355
    
71. Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(19).EXE, Quarantined, [3566], [552483],1.0.6355
    
72. Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(2).EXE, Quarantined, [3566], [552436],1.0.6355
    
73. Trojan.MalPack.VB, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(21).EXE, Quarantined, [8258], [552215],1.0.6355
    
74. Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(22).EXE, Quarantined, [3566], [552436],1.0.6355
    
75. Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(23).EXE, Quarantined, [3566], [552436],1.0.6355
    
76. Trojan.MalPack.VB, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(24).EXE, Quarantined, [8258], [552406],1.0.6355
    
77. Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(25).EXE, Quarantined, [3566], [552515],1.0.6355
    
78. Trojan.MalPack.VB, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(26).EXE, Quarantined, [8258], [551678],1.0.6355
    
79. Spyware.InfoStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(27).EXE, Quarantined, [4211], [552344],1.0.6355
    
80. Spyware.HawkEyeKeyLogger, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(5).EXE, Quarantined, [6501], [551840],1.0.6355
    
81. Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(6).EXE, Quarantined, [3566], [552483],1.0.6355
    
82. Trojan.PasswordStealer, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(7).EXE, Quarantined, [3566], [552483],1.0.6355
    
83. MachineLearning/Anomalous.97%, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(10).EXE, Quarantined, [0], [392687],1.0.6355
    
84. MachineLearning/Anomalous.95%, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(15).EXE, Quarantined, [0], [392687],1.0.6355
    
85. MachineLearning/Anomalous.97%, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(4).EXE, Quarantined, [0], [392687],1.0.6355
    
86. MachineLearning/Anomalous.96%, C:\USERS\ZHONG\DOWNLOADS\COMPRESSED\VIRUS TEST\PACKAGE 0815\0815(8).EXE, Quarantined, [0], [392687],1.0.6355
    
87. 
    
88. Physical Sector: 0
    
89. (No malicious items detected)
    
90. 
    
91. WMI: 0
    
92. (No malicious items detected)
    
93. 
    
94. 
    
95. (end)

复制代码

20:43  24/27

√×√×√√×

囧，数字国际版27个全部干掉，100%，虽然全是云拉黑，去云拉黑的QVM检测结果和双击测试在21楼

command360

火绒 19:32
右键扫描：13/27 48.1%

New_Start.

X-SEC反病毒 4/27.
360 ：27/27.
修改md5并添加自签名证书：360：12/27，卡巴18/27