样本集奉上_63 (09.04)

Jerry.Lin

www-tekeze 发表于 2018-9-5 21:46
前面多次说过了，不能在虚拟机里试，因为用的盗版VMP加壳软件，这个也是纯虚拟机加壳技术，估计VMWare、V ...

前面多次说过了，不能在虚拟机里试，因为用的盗版VMP加壳软件，这个也是纯虚拟机加壳技术，估计VMWare、VBox会检测VMProtect加壳的有效性，如果是盗版的可能危及虚拟系统的稳定性，所以拒绝执行。。。实机沙盘里没太大问题，但有些运行几秒后SBie给出程序crash的信息，然后自动退出，但影子里没多少问题，看84楼，我同时运行了十来个。。。

哎……逼我回你

你加壳的地方是不是你本实机，你把样本转移到另一个实机再运行看看，你就知道怎么回事了；记得VMP的反盗版措施是生成的加壳程序仅限于本机运行……

www-tekeze

191196846 发表于 2018-9-5 22:14
哎……逼我回你

你加壳的地方是不是你本实机，你把样本转移到另一个实机再运行看看，你就知道怎么回事 ...

难怪卡巴的回复也说仅限于本人。。。但现在清空的有那么多家。。    各家策略不一样吧。。。

B100D1E55

www-tekeze 发表于 2018-9-5 21:46
前面多次说过了，不能在虚拟机里试，因为用的盗版VMP加壳软件，这个也是纯虚拟机加壳技术，估计VMWare、V ...

并不是，我的测试系统是实机，照样报错。vmp我肯定不会在什么虚拟机里面测试，他们猥琐检测多了去了。当然你这个包我没时间每个跑过去，你另一个包随机抽样5个也都无法运行……ESET云端沙箱都鉴定为无行为，这样本不能说没问题吧

对于这种样本我个人倾向于认为：报毒也没问题（ESET云静态机器学习大部分也鉴定为可疑），不报毒也没问题（因为运行不起来）
如果运行起来有恶意行为且没杀的不妨把样本文件名po出来可以进一步研究。

ELOHIM

www-tekeze 发表于 2018-9-5 22:14
今天那个包才是64位的，这个帖的包原始样本来自PACKAGE包，主帖里说过了啊。。。

心好累。。。

www-tekeze

虽然用的盗版VMP加壳软件 (正版玩不起，有的人请支援下我)，火绒的策略也是全部拉黑。

www-tekeze

B100D1E55 发表于 2018-9-5 22:31
并不是，我的测试系统是实机，照样报错。vmp我肯定不会在什么虚拟机里面测试，他们猥琐检测多了去了。当 ...

明白，各家策略不同吧。。。今天那个包有故事 (不是这个帖)，明天揭谜底。。

dongwenqi

尊敬的用户您好！

New malicious software were found in the following file. Its detection will be included in the next update.
Thank you for your help.

41E9DDB6A325281B86E3BD68217F05D5 Trojan.Win32.Kasidet.opf
53F0648956D8190B2CBA43EFD5CD3E19 HEUR:Trojan.Win32.Generic
0F1CA3210E0BE505EBC13D608F9147F2 Trojan.Win32.Agent.qwhhah
25AD8C5BE54F81C025FB364CF50EA34A Trojan.Win32.Agent.qwhhai
2B850A56CBDEEB0B139519AA2E0218D1 Trojan.Win32.Agent.qwhhaj
4FF6C3D43B8039C9BA5181B34AB853B8 Trojan.Win32.Agent.qwhhak
5A3D6C162426A52A9EE77B5AC53D4A26 Trojan.Win32.Agent.qwhhal
5BE8B092F5CC57BCB4716CBFBAD4DACE Trojan.Win32.Agent.qwhham
5DF1DBD5D85896AB621A00B1A2CB9030 Trojan.Win32.Agent.qwhhan
61873A7D8E1F6F7B273227B7711543F1 Trojan.Win32.Agent.qwhhao

Other files are packed with trial version of VMProtect and can't cause any harm for any user except creator.

感谢您对卡巴斯基产品的信任与支持！
我们诚恳地希望您来电或来信寻求关于产品的技术支持服务，如果您有关于卡巴斯基公司的合理化建议也希望您与我们联系

WhiteCruel

www-tekeze 发表于 2018-9-5 09:55
ESET让人大失所望，之前我那些用UPX、ASPack加壳的，还有修改MD5的，红伞、E家、WD可是并驾齐驱，而现在 ...

目前为止多杀了5个，全是单独拉黑的报法，剩下的基本都有信誉信息了，不过估计不入库了。

看完B大的回复，复杂的心情平复了一些@B100D1E55

1. VirusSamples_63\Samp(19).vir - Generik.BPZLZAH 特洛伊木马 的变种 - 扫描完成后再选择处理方式
   
2. VirusSamples_63\Samp(21).vir - Generik.GCNJOJC 特洛伊木马 的变种 - 扫描完成后再选择处理方式
   
3. VirusSamples_63\Samp(34).vir - Generik.CEHLYYG 特洛伊木马 的变种 - 扫描完成后再选择处理方式
   
4. VirusSamples_63\Samp(38).vir - Generik.EIFTQQE 特洛伊木马 的变种 - 扫描完成后再选择处理方式
   
5. VirusSamples_63\Samp(50).vir - Generik.NDOCUNZ 特洛伊木马 的变种 - 扫描完成后再选择处理方式
   

复制代码

www-tekeze

dongwenqi 发表于 2018-9-6 09:02
尊敬的用户您好！

New malicious software were found in the following file. Its detection will be  ...

其它的对旁人无害，这10个会危及到别人？ 我不都是用同一个盗版VMP加的壳么，还有所不同？

www-tekeze

WhiteCruel 发表于 2018-9-6 10:28
目前为止多杀了5个，全是单独拉黑的报法，剩下的基本都有信誉信息了，不过估计不入库了。

看完B大的回 ...

火绒悉数拉黑，来得更干脆，好吧，各家都有自己的策略。。