掛馬樣本包(3X) #0904 #ZeroDay

Agu

boom.exe #ZeroDay
掛馬網址：retro-cinema.ru/boom.exe
VT(8/66)：https://www.virustotal.com/#/file/c227d9d2c8b7d74cfa8d3aea3f8ad9a2b4341c399d80985a0d1648b1edbf0c76/detection

klonnx.exe
掛馬網址：216.170.114.195/klonnx.exe
VT(13/66)：https://www.virustotal.com/#/file/c23c975114e8a27cba8ce01ca1502aefe58f90a12818d32b23e8426e7725ad47/detection

plug.exe
掛馬網址：office365msbox.com/plug
VT(15/67)：https://www.virustotal.com/#/file/18de6c50b4c6b5bbea569fe9b2219292906d9e5245565eb653d4652118f26e32/detection

樣本載點(密碼infected)：
（主要）https://we.tl/t-NkYtRTDlp5
（備用）https://1.bitsend.jp/download/83de4646f6523b2db926bc6915ab8bf4.html?setLang=en

測試：
Malwarebytes -
klonnx.exe: MachineLearning/Anomalous.100%

WhiteCruel

ESET kill 2X，miss boom.exe #ZeroDay，看卡巴的报毒名应该是个勒索，虚拟机双击自退，可能会反虚拟机

1. plug.exe;Generik.NBIPQNZ 特洛伊木马 的变种
   
2. klonnx.exe;MSIL/Kryptik.PKJ 特洛伊木马 的变种

复制代码

lsrxzz000

卡巴3K

04.09.2018 10.50.13	检测到的对象 ( 文件 ) 已删除	F:\boom.exe	文件: F:\boom.exe	对象名称: HEUR:Trojan.Win32.Crypt.gen	对象类型: 木马程序	时间: 2018/9/4 10:50
04.09.2018 10.50.12	检测到的对象 ( 文件 ) 已删除	F:\klonnx.exe	文件: F:\klonnx.exe	对象名称: UDS:Backdoor.MSIL.NanoBot.a	对象类型: 木马程序	时间: 2018/9/4 10:50
04.09.2018 10.50.11	检测到的对象 ( 文件 ) 已删除	F:\plug.exe	文件: F:\plug.exe	对象名称:  UDS:DangerousObject.Multi.Generic	时间: 2018/9/4 10:50

lkjx21

火绒miss      主防+自定义防护 拦截all         智量全清……        3w大佬～    我今天有空先试试了哈～

Jirehlov1234

BD

扫描miss all

双击

boom.exe
miss

klonnx.exe
ATD击杀（potentially malicious application）

plug.exe
自删除

趋势15:
web防护拦截所有恶意网址
手动下载样本至本地，扫描miss all
沙盘内双击：
boom.exe - 启动后占用CPU，一段时间后自动退出。
klonnx.exe - 被趋势“未经授权的更改”终止，关联扫描移除AppData\Roaming\svhost\svhost.exe（HEU_CDPLCEXT）
plug.exe - 触发趋势网络内容扫描，报TCP_FLAWEDAMMYY_REQUEST，移除衍生物winpoint.exe，一段时间后，关联扫描移除样本本体（HEU_CDPLC007）。

Miostartos

Norton security
Heur.AdvML.A,B,C各一个。三杀另外plug和boom还报了Trj.horse

Dolby123

彩虹丶//

NS报了7个 重复了4个

Agu

WhiteCruel 发表于 2018-9-4 10:28
ESET kill 2X，miss boom.exe #ZeroDay，看卡巴的报毒名应该是个勒索，虚拟机双击自退，可能会反虚拟机[:06 ...

boom.exe確實會反虛擬機，並且會延遲執行時間。