查看: 1839|回复: 19
收起左侧

[病毒样本] Frog.exe

[复制链接]
3245076553
发表于 2018-10-3 21:38:33 | 显示全部楼层 |阅读模式
dreams521
发表于 2018-10-3 21:40:34 | 显示全部楼层
本帖最后由 dreams521 于 2018-10-3 23:32 编辑
  1. 03.10.2018 21.40.35;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\Frog.exe;C:\Users\Administrator\Desktop\Frog.exe;HEUR:Trojan-Downloader.Win32.Agent.gen;木马程序;10/03/2018 21:40:35
复制代码


Kaspersky用户
发表于 2018-10-3 21:42:44 | 显示全部楼层
本帖最后由 Kaspersky用户 于 2018-10-3 21:44 编辑

BDF拦截下载
BE_HC
发表于 2018-10-3 21:42:57 | 显示全部楼层
本帖最后由 BE_HC 于 2018-10-3 22:29 编辑

PortEx-Master生成
------

Overlay
*******

Overlay at offset 0x23000
Overlay size      0x5143a3

Signatures:
[NSIS] bytes matched: 16 at address: 0x23000
pattern:  ?? ?? ?? ?? ef be ad de 4e 75 6c 6c 73 6f 66 74 49 6e 73 74

Anomalies
*********

* Deprecated Characteristic in COFF File Header: IMAGE_FILE_LINE_NUMS_STRIPPED
* Deprecated Characteristic in COFF File Header: IMAGE_FILE_LOCAL_SYMS_STRIPPED
* Optional Header: size of initialized data is too large (0x1d000), it should be 0x1ce00
* Optional Header: size of uninitialized data is too large (0x400), it should be 0x0
* Section Header 4 with name .ndata: SIZE_OF_RAW_DATA is 0
* Section name .ndata is typical for Nullsoft Installer
* Import function typical for code injection: CreateThread is used to open and execute a thread in the victim process
* Import function typical for code injection: CreateProcessA creates a process (check if SUSPENDED flag is used)

Hashes
******

MD5:    6128546e25df18564f28f6d593c51d76
SHA256: c99f3878b0b04624af3c1c452a4f9a86d3ef0496383f9f173587cf6f14eae55a

Section      Type      Hash Value                                                      
---------------------------------------------------------------------------------------
1. .text     MD5       566b191b40fde4369ae73a05b57df1d2                                
             SHA256    07f9cc0ea455b39e9ecf4a703840a559755e599c217c17655485b1189a05bc1d
2. .rdata    MD5       6389f916226544852e494114faf192ad                                
             SHA256    96fda7c3b5c92d7089fdd266fb9069a5490e2ae8ea7704c5a15f8ef53ee746ad
3. .data     MD5       72dcd89e8824ae186467be61797ed81e                                
             SHA256    3e9253bb993ad5268ecf27f1ef8f33adad3dbb57ce5bf0d58e1ae1c0a64b4545
4. .ndata    MD5                                                                       
             SHA256                                                                    
5. .rsrc     MD5       a5d5b00a7f2a5bdbb1f207172c250f22                                
             SHA256    07583da961c9c59bc9ed90514455d782cff35ffb3ae38b6551b21884ae6d9b02

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
275751198
发表于 2018-10-3 21:44:50 | 显示全部楼层
360  杀,  QVM42
ELOHIM
发表于 2018-10-3 21:46:29 | 显示全部楼层
本帖最后由 ELOHIM 于 2018-10-3 21:52 编辑

这微云骂两句。
必须要cookie,要了cookie还要登录。
你女良的,就不能匿名下载吗?
谁家像你一个德性呢?
本身自己都做不到全站https(下载时提示http error),还要这要那,去地狱吧。

文件下载失败,SCEP提示:Trojan:Win32/Tiggre!rfn
天道酬善
发表于 2018-10-3 21:49:11 | 显示全部楼层
ess v10
2018-10-03 21:47:22;HTTP 过滤器;文件;https://sh-yun-ftn.weiyun.com/ft ... janDropper.Agent.CQ 特洛伊木马;连接中断;通过应用程序访问 web 时检测到威胁: D:\Program Files\CentBrowser\Application\chrome.exe (C457E4F1F6A431B9C9D04E2F7151D31F91FBAD6E).;E68656B809458D5F05688CF262CD0C0A0A8431F7;

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
3245076553
 楼主| 发表于 2018-10-3 21:49:36 | 显示全部楼层
ELOHIM 发表于 2018-10-3 21:46
这微云骂两句。
必须要cookie,要了cookie还要登录。
你女良的,就不能匿名下载吗?

只有微云和百度云帐号
ELOHIM
发表于 2018-10-3 21:51:11 | 显示全部楼层
3245076553 发表于 2018-10-3 21:49
只有微云和百度云帐号


没说你。。。
我在说微云下载一个别人分享的文件还要登录干嘛啊?
关键它它它,我我我最后还是没有登录刷新一下网页允许cookie就下载了。。。
天天鬼搞什么?
ziyerain2015
发表于 2018-10-3 22:03:47 | 显示全部楼层
WD杀
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 07:31 , Processed in 0.129915 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表