收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 网吧影音vip kis安装程序不报,装完执行回滚
12
返回列表 发新帖
楼主: willjjyu
 收起左侧

[病毒样本] 网吧影音vip kis安装程序不报,装完执行回滚

[复制链接]
www-tekeze
发表于 2019-1-29 10:16:00 | 显示全部楼层
www-tekeze 发表于 2019-1-29 10:06
对安装包火绒、智量均不报,但安装完扫描,智量报了个dll,和2楼结果相同,放上来大家试试!

安装包ESET报了两项,也同样杀这个dll 。。。VT上45家报。。

https://www.virustotal.com/#/file/94485ef270b05ae1d944840dfd6e838cfdc1e4a530fc03b811506ecef044f5ee/detection

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

记录微笑
发表于 2019-1-29 10:32:30 | 显示全部楼层
G DATA监控miss,手动扫描在自动解包后报PUP


执行后在安装快完成后主防报毒并回滚


  1. AVA 25.20380
  2. GD 25.14254

  4. *** 进程 ***

  6. 进程: 7132
  7. 文件名: 网吧影视VIP v8.0.8.tmp
  8. 路径: c:\sandbox\yuxuan\defaultbox\user\current\appdata\local\temp\is-h9cv9.tmp\网吧影视vip v8.0.8.tmp

  10. 发行商:: 未知发行商
  11. 创建日期: 2019年1月29日 10:23:45
  12. 修改日期: 2019年1月29日 10:23:46

  14. 启动进程:: 网吧影视VIP v8.0.8.exe
  15. 发行商:: 未知发行商


  18. *** 操作 ***

  20. 程序正经过网络建立连接。
  21. 程序已更改可能危及系统的浏览器的设置。
  22. 一个未知进程访问了。
  23. 程序已创建或已操作可执行文件。
  24. 该程序可以用户执行任何程序代码。
  25. 程序已从自身的程序文件读取数据。


  28. *** 隔离区 ***

  30. 下列文件被转入隔离区:
  31. C:\Sandbox\yuxuan\DefaultBox\drive\C\Program Files (x86)\NetBar VIP\Toolbar\loading.gif
  32. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-H9CV9.tmp\网吧影视VIP v8.0.8.tmp
  33. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\BrowseBtn.png
  34. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\Button.png
  35. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\CancelImage.png
  36. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\CancelImageAsk.png
  37. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\CheckBox.png
  38. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\CloseBtn.png
  39. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\DirEdit.png
  40. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\FinishBtn.png
  41. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\ISTask.dll
  42. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\MinBtn.png
  43. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\QuickInstallBtn1.png
  44. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\QuickInstallBtn2.png
  45. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\SetupLogo.png
  46. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\SetupWindowImage.png
  47. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\_isetup\_RegDLL.tmp
  48. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\_isetup\_setup64.tmp
  49. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\_isetup\_shfoldr.dll
  50. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\botva2.dll
  51. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\innocallback.dll
  52. C:\Sandbox\yuxuan\DefaultBox\user\current\AppData\Local\Temp\is-RDPI2.tmp\progressbg.png

  54. 下列注册表项被删除:

  56. \registry\user\sandbox_yuxuan_defaultbox\machine\software\policies\microsoft\internet explorer\main || start page
  57. \registry\user\sandbox_yuxuan_defaultbox\user\current\software\microsoft\internet explorer\main || default_page_url
  58. \registry\user\sandbox_yuxuan_defaultbox\user\current\software\microsoft\internet explorer\main || start page

  60. YGLRunK5CCwnKScpJgYtJ99y8i0mBi4n/HKSKie5cCp0okInKXRycCsnKicpJweocqJiknJygCsnJyYmJwfIcpJykmJigC8nCbli0bqCnZAuJ29iYnLyBspy4i8mJif+oC0nJyYmJwdscpJykmJiwConqnKCLSfXwC8neHKCJyYGjXLiLyYmJ/7QLifoYmJygg6PcsKWcnItJ+sMn3JycnJiYvAvJ9tiYnKyDXcqJwmnKCdpcnIrJ7dwunLhX2MqqnKhXGMsJxf+NaaiCbctJ/dycnJyDscmJycmJicHxy4n+2JicrIPxy8ndy8mJid3D+coJwn3LycnJycmBmgpJ2+AanKCLiYmJ+iA+3KyJieZcnIN6Conr4C+cvIqJiYnrwAA
  61. 规则版本: 5.0.151
  62. OS: Windows 10.0 Service Pack 0.0 Build: 17763 - Workstation 64bit OS
  63. DLL版本: 75513

  65. "C:\Users\yuxuan\AppData\Local\Temp\is-H9CV9.tmp\网吧影视VIP v8.0.8.tmp" /SL5="$230646,36983858,481792,C:\Users\yuxuan\Desktop\网吧影视VIP v8.0.8.exe"
  66. MD5: 555ADFA934A0D61B826D4831F9E6B8D0
  67. "C:\Users\yuxuan\Desktop\网吧影视VIP v8.0.8.exe"
  68. MD5: 3A5AD86D6EB131FA04AF23821EE37A02
复制代码



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

wenshui1013
发表于 2019-1-29 10:54:33 | 显示全部楼层
G DATA
PUP

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

你好,再见
头像被屏蔽
发表于 2019-1-29 13:05:47 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

pal家族
发表于 2019-1-29 13:17:18 | 显示全部楼层
卡巴报毒的意思是 加了明确特征的盗版壳,所以不用再怎么脱壳或者扫描了,直接报毒就可以了。盗版壳本就非法,卡巴这样的杀毒软件和壳的厂商都有合作的,遇到一定特征的盗版壳就可以直接杀了,没有分析的必要
回复

举报

心心相印
发表于 2019-1-29 21:54:32 | 显示全部楼层
eis kill
回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-4-29 08:41 , Processed in 0.096522 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表