#PACKAGE 0821

Jerry.Lin

蓝奏

//注意下论坛图貌似挂了，大家传图可以用免费图床，如 https://imgchr.com/， 上传后选择BBCode直接复制到帖子即可


Total : 28


#勿传VT
#在样本有效期内（24小时），建议无需手动上报样本至厂商，便于其他人测试行为拦截，响应速度等
#样本序号以收集时间顺序排序，越大代表越接近现在时间

#原始样本在ESET LiveGrid 云系统 被发现的时间




回帖格式建议

杀软名称 + 时间
查杀数量+查杀率


例如：
XXX 20:39
Samples(5/10) 50%

wangkaka

eset（8月3日旧毒库）：4/28 查杀率：14.3%

avast：13/28，查杀率：46.4%
双击：
1：应该反虚拟机
4：idp拦截本体
6：idp拦截衍生物，无文件威胁。拦截成功。
7：idp拦截本体
11：失败
13：idp拦截衍生物，防御成功。
14：idp拦截本体
16：idp拦截本体
18：idp拦截本体
20：idp拦截本体
22：苍天啊，终于触发一次dp了，然而什么都没扫出来233333。之后idp拦截本体。
23：dp触发，然而什么都没扫出来233333。之后idp拦截本体。
24：失败
25：dp触发，然而什么都没扫出来233333。
28：dp触发，然而什么都没扫出来233333。

ps：前几个样本触发不了，等我吃完饭回来dp又能触发了。看来小a的云时断时续。。。
pps：今天样本好多样本行为重复的。。。。11.13.22.24.25好像都差不多。。

总拦截：23/28，拦截率：82.14%

温馨小屋

NS

19:11
扫描 26/28     92.8%
双击再杀1个
共27/28          96.4%
1 Heur.AdvML.B
2 Infostealer.Lokibot
3 Packed.Generic.516
4 Trojan.Emotet!g5
5 Packed.Generic.516
6 等了20分钟都没行为
7 Heur.AdvML.B
8 Heur.AdvML.B
9 Heur.AdvML.B
10 Trojan Horse
11 Heur.AdvML.B
12 Heur.AdvML.B
13 Heur.AdvML.B
14 Heur.AdvML.B
15 SONAR.Heuristic.170
16 Heur.AdvML.B
17 Downloader.Ponik/Backdoor.Trojan
18 Trojan.Emotet!g5
19 Packed.Generic.516
20 Heur.AdvML.B
21 Heur.AdvML.B
22 Heur.AdvML.B
23 Heur.AdvML.B
24 Heur.AdvML.A
25 Heur.AdvML.B
26 Heur.AdvML.A
27 Packed.Generic.521
28 Heur.AdvML.B

静影沉璧

BD2019

时间：19:08-19:27

----------扫描部分----------

C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(27).exe Trojan.GenericKD.40415839 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(28).exe Trojan.GenericKD.40416069 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(20).exe Gen:Variant.Razy.378644 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(8).exe Trojan.GenericKD.40415229 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(12).exe Gen:Variant.Razy.377721 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(3).exe Gen:Suspicious.Cloud.4.KGX@a8It9rki Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(5).exe Gen:Suspicious.Cloud.4.PGX@aGI30bji Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(23).exe Gen:Suspicious.Cloud.4.Fm1@aWy2xhhi Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(13).exe Gen:Suspicious.Cloud.4.Fm1@aivNAegi Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(17).exe Dropped:Generic.Malware.SB.A59B033A Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(4).exe Gen:Variant.Razy.381246 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(2).exe Gen:Suspicious.Cloud.4.KGX@aiFYslni Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(19).exe Gen:Variant.Symmi.84478 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(15).exe Gen:Variant.Barys.59399 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(22).exe Gen:Suspicious.Cloud.4.Fm1@aeyqFwhi Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(14).exe Trojan.GenericKDZ.46850 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(18).exe Gen:Variant.Razy.381246 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(11).exe Trojan.GenericKD.40416122 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(1).exe Gen:Suspicious.Cloud.4.@p1@aa1hDbli Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(10).exe Gen:Suspicious.Cloud.4.Em1@aGhtBeii Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0821\0821(25).exe Gen:Suspicious.Cloud.4.@p1@aKhIz!ai Deleted

----------双击部分----------

The file c:\users\administrator.sxcsxc-ajkjjubr\desktop\package 0821\0821(6).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator.sxcsxc-ajkjjubr\desktop\package 0821\0821(7).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator.sxcsxc-ajkjjubr\desktop\package 0821\0821(21).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator.sxcsxc-ajkjjubr\desktop\package 0821\0821(24).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
剩余样本双击结果：
9号样本仅阻止其外联，本体未杀
16号，26号样本行为及其相似，并且有点诡异，Win10实机状态下，第一次双击，运行后自删。解压出来再双击，运行后自退，没有自删。BD也没有报。
Total：25/28 89.3%

静影沉璧

SEP14.0：自动防护扫描删除24个，剩余6,15,24,26
双击：sonar杀26号样本

剩余样本等了许久没反应
Total：25/28 89.3%

dreams521

卡巴19:20
Samples(17/28) 60.7%




21.08.2018 19.19.12;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0821(21).exe;C:\Users\Administrator\Desktop\123\0821(21).exe;HEUR:Trojan.Win32.Agent.gen;木马程序;08/21/2018 19:19:12
21.08.2018 19.19.11;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0821(28).exe;C:\Users\Administrator\Desktop\123\0821(28).exe;HEUR:Trojan.Win32.Generic;木马程序;08/21/2018 19:19:11
21.08.2018 19.19.10;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0821(26).exe;C:\Users\Administrator\Desktop\123\0821(26).exe;HEUR:Backdoor.Win32.Agent.gen;木马程序;08/21/2018 19:19:10
21.08.2018 19.19.10;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0821(27).exe;C:\Users\Administrator\Desktop\123\0821(27).exe;VHO:Trojan-Spy.Win32.Ursnif.gen;木马程序;08/21/2018 19:19:10
21.08.2018 19.19.10;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0821(20).exe;C:\Users\Administrator\Desktop\123\0821(20).exe;HEUR:Backdoor.Win32.Agent.gen;木马程序;08/21/2018 19:19:10
21.08.2018 19.19.08;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0821(3).exe;C:\Users\Administrator\Desktop\123\0821(3).exe;HEUR:Trojan.MSIL.Agent.gen;木马程序;08/21/2018 19:19:08
21.08.2018 19.19.08;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0821(5).exe;C:\Users\Administrator\Desktop\123\0821(5).exe;HEUR:Trojan.MSIL.Agent.gen;木马程序;08/21/2018 19:19:08
21.08.2018 19.19.08;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0821(2).exe;C:\Users\Administrator\Desktop\123\0821(2).exe;HEUR:Trojan.MSIL.Agent.gen;木马程序;08/21/2018 19:19:08
21.08.2018 19.19.08;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0821(19).exe;C:\Users\Administrator\Desktop\123\0821(19).exe;HEUR:Trojan.MSIL.Agent.gen;木马程序;08/21/2018 19:19:08
21.08.2018 19.19.07;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0821(17).exe;C:\Users\Administrator\Desktop\123\0821(17).exe;HEUR:Trojan.Win32.Generic;木马程序;08/21/2018 19:19:07
21.08.2018 19.19.07;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0821(8).exe;C:\Users\Administrator\Desktop\123\0821(8).exe;Trojan-PSW.Win32.Coins.hqu;木马程序;08/21/2018 19:19:07
21.08.2018 19.19.07;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0821(16).exe;C:\Users\Administrator\Desktop\123\0821(16).exe;HEUR:Backdoor.Win32.Agent.gen;木马程序;08/21/2018 19:19:07
21.08.2018 19.19.07;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0821(15).exe;C:\Users\Administrator\Desktop\123\0821(15).exe;HEUR:Trojan.Win32.Agent.gen;木马程序;08/21/2018 19:19:07
21.08.2018 19.19.06;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0821(9).exe;C:\Users\Administrator\Desktop\123\0821(9).exe;HEUR:Backdoor.Win32.Agent.gen;木马程序;08/21/2018 19:19:06
21.08.2018 19.19.06;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0821(11).exe;C:\Users\Administrator\Desktop\123\0821(11).exe;Trojan.MSIL.Inject.acaje;木马程序;08/21/2018 19:19:06
21.08.2018 19.19.06;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0821(12).exe;C:\Users\Administrator\Desktop\123\0821(12).exe;VHO:Backdoor.Win32.Androm.gen;木马程序;08/21/2018 19:19:06
21.08.2018 19.19.06;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\123\0821(10).exe;C:\Users\Administrator\Desktop\123\0821(10).exe;Trojan.MSIL.Inject.acajc;木马程序;08/21/2018 19:19:06



剩余样本

双击剩余样本:

1号样本:双击停止工作(实机!-忘开影子啦!!!)
4号样本:双击后删除自身,关联C:\Windows\SysWOW64\owinoobe.exe进行外联下载C:\Windows\SysWOW64\97lHtQ1J.exe VHO:Trojan-
Banker.Win32.Emotet.gen.
6号样本:双击驻留内存,无明显行为.十分钟左右退出内存并删除自身.
7号样本:PDM:Trojan.Win32.Generic
13号样本:释放衍生物c:\users\administrator\appdata\local\temp\datemonitor\datemonitor.exe;PDM:Trojan.Win32.Generic;回滚后主体未清除
14号样本:PDM:Trojan.Win32.Generic
18号样本:PDM:Trojan.Win32.Badur.a
22号样本:和13号样本相同.
23号样本:和1号样本相同.
24号样本:双击后无明显行为,1分钟左右退出内存删除自身.
25号样本:同1号和23号样本相同.

WHALE-FALL

3602分钟后二扫统计：25/28   89.3%  云上传中1和25 暂无风险 17低风险

WHALE-FALL

360一扫
剩4个   统计24/28
85.7%

Jerry.Lin

WHALE-FALL 发表于 2018-8-21 19:10
一扫
剩424/28
85.7%

//注意下论坛图貌似挂了，大家传图可以用免费图床，如 https://imgchr.com/， 上传后选择BBCode直接复制到帖子即可

你那边图片显示正常吗？

温馨小屋

191196846 发表于 2018-8-21 19:12
你那边图片显示正常吗？

似乎已经修复了

WHALE-FALL

191196846 发表于 2018-8-21 19:12
你那边图片显示正常吗？

正常的