查看: 5127|回复: 42
收起左侧

[病毒样本] #PACKAGE 0820

[复制链接]
Jerry.Lin
发表于 2018-8-20 19:06:24 | 显示全部楼层 |阅读模式
本帖最后由 191196846 于 2018-8-21 20:15 编辑

Invalid Sample: 0820(13).exe

蓝奏

Total : 16


#勿传VT
#在样本有效期内(24小时),建议无需手动上报样本至厂商,便于其他人测试行为拦截,响应速度等
#样本序号以收集时间顺序排序,越大代表越接近现在时间


#原始样本在ESET LiveGrid 云系统 被发现的时间





回帖格式建议


杀软名称 + 时间
查杀数量+查杀率


例如:
XXX 20:39
Samples(5/10) 50%

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
wangkaka + 3 版区有你更精彩: )

查看全部评分

静影沉璧
发表于 2018-8-20 19:16:18 | 显示全部楼层
本帖最后由 静影沉璧 于 2018-8-20 19:31 编辑

BD2019

时间19:19-19:29

----------扫描部分----------

8/16
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0820\0820(12).exe Trojan.GenericKD.40413546 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0820\0820(3).exe Trojan.GenericKD.40413351 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0820\0820(9).exe Trojan.GenericKD.40414122 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0820\0820(16).exe Trojan.Krypt.DS Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0820\0820(11).exe Trojan.GenericKD.40414157 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0820\0820(8).exe Gen:Variant.Barys.56662 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0820\0820(14).exe Trojan.GenericKD.40412309 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0820\0820(6).exe Trojan.Krypt.DS Deleted
----------双击部分----------

The file c:\users\administrator.sxcsxc-ajkjjubr\desktop\package 0820\0820(1).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator.sxcsxc-ajkjjubr\desktop\package 0820\0820(2).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator.sxcsxc-ajkjjubr\desktop\package 0820\0820(4).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator.sxcsxc-ajkjjubr\desktop\package 0820\0820(5).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator.sxcsxc-ajkjjubr\desktop\package 0820\0820(7).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator.sxcsxc-ajkjjubr\desktop\package 0820\0820(15).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
剩余样本双击结果:
10号样本未杀掉本体,13号样本无法运行
Total:14/16=87.5%

评分

参与人数 1人气 +1 收起 理由
Jerry.Lin + 1 版区有你更精彩: )

查看全部评分

BH2SUC
发表于 2018-8-20 19:16:53 | 显示全部楼层
本帖最后由 BH2SUC 于 2018-8-20 19:31 编辑

NS占坑
NS 19:17
扫描剩余1、3、8、10、13

实机双击
1、3、8MISS,10号报错,13号MISS,机器又被安上了火狐。。。。

19:21
NS检测到大量出站访问,自动调用Power Eraser,删除大量exedll,防火墙拦截大量攻击

19:25
SONAR删除3号。。。。

19:28
清除完成,剩余13号

Total(15/16)=93.75%

评分

参与人数 1人气 +1 收起 理由
Jerry.Lin + 1 版区有你更精彩: )

查看全部评分

Picca
发表于 2018-8-20 19:30:01 | 显示全部楼层
19:12 卡巴扫描 7  + 双击
1  PDM:Trojan.Win32.Generic
2  停止工作
3  PDM:Exploit.Win32.Generic.nblk
4  调用ie下载了什么,然后PowerShell:  PDM:Exploit.Win32.Generic
7  PDM:Trojan.Win32.Generic
8  本体不杀,衍生物 2865890.exe PDM:Trojan.Win32.Generic
10 无法保护firefox浏览器
13 不是有效的win32程序,改坏了
15 PDM:Trojan.Win32.Generic



评分

参与人数 1人气 +1 收起 理由
Jerry.Lin + 1 版区有你更精彩: )

查看全部评分

心痛的伤不起
发表于 2018-8-20 20:05:18 | 显示全部楼层
火绒扫描加双击结果,所有防护开启

【1】2018-08-20 20:03:19,系统防御,文件保护,agdfdffdffhit.bat触犯文件防护规则, 已阻止

操作者:C:\Users\555\AppData\Local\Temp\agdfdffdffhit.bat
命令行:C:\Windows\system32\cmd.exe /c C:\Users\555\AppData\Local\Temp\agdfdffdffhit.bat
风险动作:修改启动目录(扩展保护)
目标文件:C:\Users\555\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2018-08-20 20:03:18,病毒防御,文件实时监控,发现病毒HVM:Trojan/Deceiver.gen!B, 已清除

操作者:C:\Users\555\Desktop\PACKAGE 0820\0820(11).exe
病毒路径:C:\Users\555\AppData\Roaming\tmp.exe
病毒名称:HVM:Trojan/Deceiver.gen!B
病毒ID:2E3BBA30A4BDCBDC
用户操作:已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2018-08-20 20:02:00,系统防御,注册表保护,firefox.exe触犯注册表防护规则, 已阻止

操作者:C:\Users\555\AppData\Local\Temp\is-S52VP.tmp\firefox.exe
命令行:"C:\Users\555\AppData\Local\Temp\is-S52VP.tmp\firefox.exe"
风险动作:修改启动项
目标注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
操作类型:写入
数据内容:C:\Users\555\AppData\Roaming\423AE8F782127BE1\firefox.exe
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2018-08-20 20:01:46,系统防御,注册表保护,logs.exe触犯注册表防护规则, 已阻止

操作者:C:\Users\555\AppData\Local\logs.exe
命令行:"C:\Users\555\AppData\Local\logs.exe"
风险动作:修改启动项
目标注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\App
操作类型:写入
数据内容:C:\Users\555\AppData\Local\logs.exe -boot
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2018-08-20 20:01:28,系统防御,文件保护,agdfdffdffhit.bat触犯文件防护规则, 已阻止

操作者:C:\Users\555\AppData\Local\Temp\agdfdffdffhit.bat
命令行:C:\Windows\system32\cmd.exe /c C:\Users\555\AppData\Local\Temp\agdfdffdffhit.bat
风险动作:修改启动目录(扩展保护)
目标文件:C:\Users\555\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2018-08-20 20:01:26,病毒防御,文件实时监控,发现病毒HVM:Trojan/Deceiver.gen!B, 已清除

操作者:C:\Users\555\Desktop\PACKAGE 0820\0820(11).exe
病毒路径:C:\Users\555\AppData\Roaming\tmp.exe
病毒名称:HVM:Trojan/Deceiver.gen!B
病毒ID:2E3BBA30A4BDCBDC
用户操作:已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2018-08-20 20:00:13,病毒防御,病毒查杀,自定义扫描,发现0个风险项目

病毒库:2018-08-20 16:11
开始时间:2018-08-20 19:59
总计用时:00:00:16
扫描对象:295个
扫描文件:15个
发现风险:0个
已处理风险:0个
发现系统修复项:0个
处理系统修复项:0个

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【8】2018-08-20 19:59:37,病毒防御,文件实时监控,发现病毒Trojan/VBInject.b, 已清除

操作者:C:\Program Files (x86)\360\360zip\360zip.exe
病毒路径:C:\Users\555\Desktop\PACKAGE 0820\0820(14).exe
病毒名称:Trojan/VBInject.b
病毒ID:E4BEEE39EA2E9885
用户操作:已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

评分

参与人数 2人气 +2 收起 理由
www-tekeze + 1 感谢解答: )
Jerry.Lin + 1 版区有你更精彩: )

查看全部评分

Severn'
发表于 2018-8-20 19:17:41 | 显示全部楼层
智量这个小东西有点意思.,14/16=87,5%

都是ML报法
剩10和13
command360
发表于 2018-8-20 19:19:32 | 显示全部楼层
本帖最后由 command360 于 2018-8-20 19:30 编辑

火绒 3/16 (18.75%)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
WHALE-FALL
发表于 2018-8-20 19:33:19 | 显示全部楼层
360 一扫
无红伞BD
剩余5个
二扫即将进行
WHALE-FALL
发表于 2018-8-20 19:34:47 | 显示全部楼层
本帖最后由 WHALE-FALL 于 2018-8-20 22:12 编辑
WHALE-FALL 发表于 2018-8-20 19:33
360 一扫
无红伞BD
剩余5个

一分钟后剩余3个
3 11 1311低风险
3 13 暂无风险

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
YU2711
发表于 2018-8-20 19:35:00 | 显示全部楼层
AVIRA  19:25
扫描11/16
双击4/5
(13)无法运行
Total:15/16
心痛的伤不起
发表于 2018-8-20 19:40:44 | 显示全部楼层
费尔扫描加双击7/16 剩余9个
Total:7/16
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 09:05 , Processed in 0.133668 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表