楼主: Jerry.Lin
收起左侧

[病毒样本] #PACKAGE 0823

[复制链接]
www-tekeze
发表于 2018-8-23 22:54:15 | 显示全部楼层

瑞星云终端 Kill 6X,云杀的没有,还没入云库吧。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
心痛的伤不起
发表于 2018-8-23 23:14:50 | 显示全部楼层
本帖最后由 y3312068 于 2018-8-23 23:39 编辑

新鲜的火绒 补张图【1】2018-08-23 23:15:59,系统防御,注册表保护,cmd.exe触犯注册表防护规则, 已阻止

操作者:C:\Windows\SysWOW64\cmd.exe
命令行:"C:\Windows\SysWOW64\cmd.exe"
风险动作:修改启动项
目标注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\KDUL0VBPVBM
操作类型:写入
数据内容:C:\Program Files (x86)\Ewpx\cdsdxfaglfl_r8x.exe
用户操作:已阻止
【2】2018-08-23 23:10:31,系统防御,注册表保护,WindowsUtilities.exe触犯注册表防护规则, 已阻止

操作者:C:\Users\555\AppData\Local\WindowsUtilities.exe
命令行:"C:\Users\555\AppData\Local\WindowsUtilities.exe"
风险动作:修改启动项
目标注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Application
操作类型:写入
数据内容:C:\Users\555\AppData\Local\WindowsUtilities.exe -boot
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2018-08-23 23:09:38,系统防御,注册表保护,WindowsUtilities.exe触犯注册表防护规则, 已阻止

操作者:C:\Users\555\AppData\Local\WindowsUtilities.exe
命令行:"C:\Users\555\AppData\Local\WindowsUtilities.exe"
风险动作:修改启动项
目标注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Application
操作类型:写入
数据内容:C:\Users\555\AppData\Local\WindowsUtilities.exe -boot
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2018-08-23 23:09:06,系统防御,注册表保护,wmiprvse.exe触犯注册表防护规则, 已阻止

操作者:C:\Windows\sysWOW64\wbem\wmiprvse.exe
命令行:C:\Windows\sysWOW64\wbem\wmiprvse.exe -secured -Embedding
风险动作:修改启动项
目标注册表:HKEY_USERS\S-1-5-21-3791476695-3221401129-2766986884-1001\Software\Microsoft\Windows\CurrentVersion\Run\atmlapin
操作类型:写入
数据内容:cmd.exe /C powershell invoke-expression([System.Text.Encoding]::ASCII.GetString((get-itemproperty 'HKCU:\Software\AppDataLow\So
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2018-08-23 23:08:42,病毒防御,文件实时监控,发现病毒Trojan/Generic!58E463CD59E2DD25, 已清除

操作者:C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
病毒路径:C:\Users\555\AppData\Local\Temp\SH3.exe
病毒名称:Trojan/Generic!58E463CD59E2DD25
病毒ID:58E463CD59E2DD25
用户操作:已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2018-08-23 23:08:27,系统防御,注册表保护,RegAsm.exe触犯注册表防护规则, 已阻止

操作者:C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
命令行:"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
风险动作:修改启动项
目标注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MyOtApp
操作类型:写入
数据内容:C:\Users\555\AppData\Roaming\MyOtApp\MyOtApp.exe
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2018-08-23 23:08:17,系统防御,注册表保护,lunamute.exe触犯注册表防护规则, 已阻止

操作者:C:\Users\555\AppData\Local\Microsoft\Windows\lunamute.exe
命令行:"C:\Users\555\AppData\Local\Microsoft\Windows\lunamute.exe"
风险动作:修改启动项
目标注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\lunamute
操作类型:写入
数据内容:"C:\Users\555\AppData\Local\Microsoft\Windows\lunamute.exe"
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2018-08-23 23:08:11,系统防御,注册表保护,RegAsm.exe触犯注册表防护规则, 已阻止

操作者:C:\Windows\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe
命令行:"C:\Windows\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe"
风险动作:修改启动项
目标注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\WPA Manager
操作类型:写入
数据内容:C:\Users\555\AppData\Roaming\AE26E99B-688B-40DF-B67A-E7E11CAE2119\WPA Manager\wpamgr.exe
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【8】2018-08-23 23:08:02,系统防御,文件保护,cmd.exe触犯文件防护规则, 已阻止

操作者:C:\Windows\SysWOW64\cmd.exe
命令行:"C:\Windows\System32\cmd.exe" /c copy "C:\Users\555\Desktop\PACKAGE 0823\0823(25).exe" "C:\Users\555\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\java.exe"
风险动作:修改启动目录(扩展保护)
目标文件:C:\Users\555\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\java.exe
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【9】2018-08-23 23:07:43,病毒防御,恶意行为监控,发现未知病毒BEHAV:Ransom/Rattrap.A, 已清除

病毒名称:BEHAV:Ransom/Rattrap.A
文件路径:C:\Users\555\Desktop\PACKAGE 0823\0823(18).exe
用户操作:已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【10】2018-08-23 23:07:40,系统防御,文件保护,0823(7).exe触犯文件防护规则, 已阻止

操作者:C:\Users\555\Desktop\PACKAGE 0823\0823(7).exe
命令行:"C:\Users\555\Desktop\PACKAGE 0823\0823(7).exe"
风险动作:修改启动目录
目标文件:C:\Users\555\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\music.url
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【11】2018-08-23 23:05:41,病毒防御,文件实时监控,发现病毒Trojan/VBInject.b, 已清除

操作者:C:\Program Files (x86)\360\360zip\360zip.exe
病毒路径:C:\Users\555\Desktop\PACKAGE 0823\0823(29).exe
病毒名称:Trojan/VBInject.b
病毒ID:E4BEEE39EA2E9885
用户操作:已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【12】2018-08-23 23:05:41,病毒防御,文件实时监控,发现病毒VirTool/Obfuscator.bh, 已清除

操作者:C:\Program Files (x86)\360\360zip\360zip.exe
病毒路径:C:\Users\555\Desktop\PACKAGE 0823\0823(3).exe
病毒名称:VirTool/Obfuscator.bh
病毒ID:A68045BCDE0933A3
用户操作:已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【13】2018-08-23 23:05:32,病毒防御,文件实时监控,发现病毒HEUR:Trojan/VBCode.be, 已清除

操作者:C:\Windows\Explorer.EXE
病毒路径:C:\Users\555\Desktop\PACKAGE 0823\0823(1).exe
病毒名称:HEUR:Trojan/VBCode.be
病毒ID:D38A4A7DE3D69B77
用户操作:已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【14】2018-08-23 23:05:32,病毒防御,文件实时监控,发现病毒HEUR:Trojan/VBCode.be, 已清除

操作者:C:\Program Files (x86)\360\360zip\360zip.exe
病毒路径:C:\Users\555\Desktop\PACKAGE 0823\0823(10).exe
病毒名称:HEUR:Trojan/VBCode.be
病毒ID:D38A4A7DE3D69B77
用户操作:已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【15】2018-08-23 23:05:32,病毒防御,文件实时监控,发现病毒HEUR:Trojan/VBCode.be, 已清除

操作者:C:\Program Files (x86)\360\360zip\360zip.exe
病毒路径:C:\Users\555\Desktop\PACKAGE 0823\0823(11).exe
病毒名称:HEUR:Trojan/VBCode.be
病毒ID:D38A4A7DE3D69B77
用户操作:已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【16】2018-08-23 23:05:32,病毒防御,文件实时监控,发现病毒Trojan/VBInject.b, 已清除

操作者:C:\Program Files (x86)\360\360zip\360zip.exe
病毒路径:C:\Users\555\Desktop\PACKAGE 0823\0823(12).exe
病毒名称:Trojan/VBInject.b
病毒ID:E4BEEE39EA2E9885
用户操作:已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【17】2018-08-23 23:05:32,病毒防御,文件实时监控,发现病毒HEUR:Trojan/VBCode.be, 已清除

操作者:C:\Program Files (x86)\360\360zip\360zip.exe
病毒路径:C:\Users\555\Desktop\PACKAGE 0823\0823(19).exe
病毒名称:HEUR:Trojan/VBCode.be
病毒ID:D38A4A7DE3D69B77
用户操作:已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【18】2018-08-23 23:05:32,病毒防御,文件实时监控,发现病毒HEUR:Trojan/VBCode.be, 已清除

操作者:C:\Windows\Explorer.EXE
病毒路径:C:\Users\555\Desktop\PACKAGE 0823\0823(20).exe
病毒名称:HEUR:Trojan/VBCode.be
病毒ID:D38A4A7DE3D69B77
用户操作:已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【19】2018-08-23 23:05:32,病毒防御,文件实时监控,发现病毒HEUR:VirTool/Obfuscator.gen!A, 已清除

操作者:C:\Program Fila6)\360\360zip\360zip.exe
病毒路径:C:\Users\555\Desktop\PACKAGE 0823\0823(24).exe
病毒名称:HEUR:VirTool/Obfuscator.gen!A
病毒ID:A5A7938D38833819
用户操作:已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【20】2018-08-23 23:02:58,其他,升级日志,手动升级成功,版本号:4.0.69.9

升级方式:手动升级
升级结果:成功
版本号:4.0.69.9
下载文件:
        2018-08-23 23:02:58 C:\ProgramData\Huorong\Sysdiag\db\malurl.db
        2018-08-23 23:02:58 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
        2018-08-23 23:02:58 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
        2018-08-23 23:02:58 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
修改文件:
        2018-08-23 23:02:58 C:\ProgramData\Huorong\Sysdiag\db\malurl.db
        2018-08-23 23:02:58 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
        2018-08-23 23:02:58 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
        2018-08-23 23:02:58 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
Jerry.Lin + 1 版区有你更精彩: )

查看全部评分

chenrui19930
发表于 2018-8-24 01:24:00 | 显示全部楼层
静影沉璧 发表于 2018-8-23 22:33
BD2019
时间:22:40-23:20
扫描:21/29

很多时候感觉杀软就像是剑客,红伞和ESET算是远程毙敌,BD每次都是贴身肉搏,艺高人胆大,但还是很惊险啊
静影沉璧
发表于 2018-8-24 01:27:12 | 显示全部楼层
chenrui19930 发表于 2018-8-24 01:24
很多时候感觉杀软就像是剑客,红伞和ESET算是远程毙敌,BD每次都是贴身肉搏,艺高人胆大,但还是很惊险啊 ...

认同……+1
歌德塔大蜘蛛
发表于 2018-8-24 08:41:42 | 显示全部楼层
cloud01 发表于 2018-8-23 21:57
eset  20:23
Samples(29/29) 100%

报毒名呢?
21:54发帖,20:23就查杀了
cloud01
头像被屏蔽
发表于 2018-8-24 09:39:19 | 显示全部楼层
歌德塔大蜘蛛 发表于 2018-8-24 08:41
报毒名呢?
21:54发帖,20:23就查杀了

我擦 ,时空错乱了么啊  ,我明明看着八点多的。。。眼花。  我反正是第一个占楼的,不知道怎么这么多人跑我前面去了。
小飞侠.net
发表于 2018-8-24 11:58:18 | 显示全部楼层


火绒安全---( Windows 7 Ultimate with SP1 简体中文旗舰版....):

病毒库:2018-08-23 15:55
开始时间:2018-08-24 11:55
总计用时:00:00:22
扫描对象:468个
扫描文件:29个
发现风险:9个
已处理风险:0个
发现系统修复项:0个
处理系统修复项:0个

病毒详情

风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0823\0823(1).exe, 病毒名:HEUR:Trojan/VBCode.be, 病毒ID:[d38a4a7de3d69b77], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0823\0823(10).exe, 病毒名:HEUR:Trojan/VBCode.be, 病毒ID:[d38a4a7de3d69b77], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0823\0823(12).exe, 病毒名:Trojan/VBInject.b, 病毒ID:[e4beee39ea2e9885], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0823\0823(11).exe, 病毒名:HEUR:Trojan/VBCode.be, 病毒ID:[d38a4a7de3d69b77], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0823\0823(19).exe, 病毒名:HEUR:Trojan/VBCode.be, 病毒ID:[d38a4a7de3d69b77], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0823\0823(20).exe, 病毒名:HEUR:Trojan/VBCode.be, 病毒ID:[d38a4a7de3d69b77], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0823\0823(24).exe, 病毒名:HEUR:VirTool/Obfuscator.gen!A, 病毒ID:[a5a7938d38833819], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0823\0823(29).exe, 病毒名:Trojan/VBInject.b, 病毒ID:[e4beee39ea2e9885], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0823\0823(3).exe, 病毒名:VirTool/Obfuscator.bh, 病毒ID:[a68045bcde0933a3], 处理结果:已忽略


文件名称: C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0823.zip
文件大小: 9.74 MB (10,216,917 字节)
修改时间: 2018年08月24日,11:51:28
MD5: A7BF6C64C9A551EAE57C1B95854C974C
SHA1: 49ED98135D8E073D6852E89D9A72C6CB035A6CA7
SHA256: E396E1599273E07BDFE2E7C6292FB302A8DE0184CA3A71023F3EB0C52D885A82
CRC32: 06015AAF
计算时间: 0.39s


PercyDan
发表于 2018-8-24 15:21:00 | 显示全部楼层
咖啡7/29
ccboxes
发表于 2018-8-24 15:44:17 | 显示全部楼层
chenrui19930 发表于 2018-8-24 01:24
很多时候感觉杀软就像是剑客,红伞和ESET算是远程毙敌,BD每次都是贴身肉搏,艺高人胆大,但还是很惊险啊 ...

不至于,对于新样本,22/29的查杀率不错了(BD有些云杀需要双击触发,在@静影沉璧 测试中有一个),趋势才是真的全靠主防过活。
ccboxes
发表于 2018-8-24 15:45:22 | 显示全部楼层
YU2711 发表于 2018-8-23 22:10
趋势科技 扫锚7/29
0823(16).exe  TSPY_HPLOKI.SMBD0823(8).exe    TrojanSpy.Win32.LOKI.SMB ...

趋势15?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 06:40 , Processed in 0.102329 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表