搜索
楼主: www-tekeze
收起左侧

[病毒样本] EXE样本5X_20

[复制链接]
静影沉璧
发表于 2019-2-11 15:08:47 | 显示全部楼层
本帖最后由 静影沉璧 于 2019-2-11 15:13 编辑

KSOS 20.0.7.895
Samp(1).vir:UDS:DangerousObject.Multi.Generic
Samp(2).vir:not-a-virus:VHO:RiskTool.Win32.BitCoinMiner.gen
Samp(3).vir:HEUR:Trojan.Win32.Generic
Samp(4).vir:Trojan-PSW.Win32.Azorult.gbh
Samp(5).exe:PDM:Trojan.Win32.Generic
  1. 11.02.2019 15.06.15        已回滚 恶意软件 的操作        PDM:Trojan.Win32.Generic        应用程序名称: C:\Users\Administrator\Desktop\EXE样本_20\Samp(5).exe        应用程序路径: c:\users\administrator\desktop\exe样本_20\samp(5).exe        时间: 2019/2/11 15:06
  2. 11.02.2019 15.06.15        回滚 恶意软件 的操作时注册表键值被删除        HKEY_USERS\s-1-5-21-1996092049-2321144122-81588751-500\software\microsoft\windows\currentversion\internet settings\connections\savedlegacysettings        应用程序名称: C:\Users\Administrator\Desktop\EXE样本_20\Samp(5).exe        应用程序路径: c:\users\administrator\desktop\exe样本_20\samp(5).exe        时间: 2019/2/11 15:06
  3. 11.02.2019 15.06.15        回滚 恶意软件 的操作时注册表键值被删除        HKEY_USERS\s-1-5-21-1996092049-2321144122-81588751-500\software\microsoft\windows\currentversion\internet settings\autodetect        应用程序名称: C:\Users\Administrator\Desktop\EXE样本_20\Samp(5).exe        应用程序路径: c:\users\administrator\desktop\exe样本_20\samp(5).exe        时间: 2019/2/11 15:06
  4. 11.02.2019 15.06.15        回滚 恶意软件 的操作时注册表键值被删除        HKEY_USERS\s-1-5-21-1996092049-2321144122-81588751-500\software\microsoft\windows\currentversion\internet settings\autoconfigurl        应用程序名称: C:\Users\Administrator\Desktop\EXE样本_20\Samp(5).exe        应用程序路径: c:\users\administrator\desktop\exe样本_20\samp(5).exe        时间: 2019/2/11 15:06
  5. 11.02.2019 15.06.15        回滚 恶意软件 的操作时注册表键值被删除        HKEY_USERS\s-1-5-21-1996092049-2321144122-81588751-500\software\microsoft\windows\currentversion\internet settings\proxyoverride        应用程序名称: C:\Users\Administrator\Desktop\EXE样本_20\Samp(5).exe        应用程序路径: c:\users\administrator\desktop\exe样本_20\samp(5).exe        时间: 2019/2/11 15:06
  6. 11.02.2019 15.06.15        回滚 恶意软件 的操作时注册表键值被删除        HKEY_USERS\s-1-5-21-1996092049-2321144122-81588751-500\software\microsoft\windows\currentversion\internet settings\proxyserver        应用程序名称: C:\Users\Administrator\Desktop\EXE样本_20\Samp(5).exe        应用程序路径: c:\users\administrator\desktop\exe样本_20\samp(5).exe        时间: 2019/2/11 15:06
  7. 11.02.2019 15.06.15        回滚 恶意软件 的操作时注册表键值被删除        HKEY_USERS\s-1-5-21-1996092049-2321144122-81588751-500\software\microsoft\windows\currentversion\internet settings\proxyenable        应用程序名称: C:\Users\Administrator\Desktop\EXE样本_20\Samp(5).exe        应用程序路径: c:\users\administrator\desktop\exe样本_20\samp(5).exe        时间: 2019/2/11 15:06
  8. 11.02.2019 15.06.12        检测到 恶意软件        PDM:Trojan.Win32.Generic        应用程序名称: C:\Users\Administrator\Desktop\EXE样本_20\Samp(5).exe        应用程序路径: c:\users\administrator\desktop\exe样本_20\samp(5).exe        时间: 2019/2/11 15:06
  9. 11.02.2019 15.06.12        已回滚 恶意软件 的操作        PDM:Trojan.Win32.Generic        应用程序名称: C:\Users\Administrator\Desktop\EXE样本_20\Samp(5).exe        应用程序路径: c:\users\administrator\desktop\exe样本_20\samp(5).exe        时间: 2019/2/11 15:06
  10. 11.02.2019 15.06.12        回滚 恶意软件 的操作时注册表键值被删除        HKEY_USERS\s-1-5-21-1996092049-2321144122-81588751-500\software\microsoft\windows\currentversion\internet settings\connections\savedlegacysettings        应用程序名称: C:\Users\Administrator\Desktop\EXE样本_20\Samp(5).exe        应用程序路径: c:\users\administrator\desktop\exe样本_20\samp(5).exe        时间: 2019/2/11 15:06
  11. 11.02.2019 15.06.12        回滚 恶意软件 的操作时注册表键值被删除        HKEY_USERS\s-1-5-21-1996092049-2321144122-81588751-500\software\microsoft\windows\currentversion\internet settings\autodetect        应用程序名称: C:\Users\Administrator\Desktop\EXE样本_20\Samp(5).exe        应用程序路径: c:\users\administrator\desktop\exe样本_20\samp(5).exe        时间: 2019/2/11 15:06
  12. 11.02.2019 15.06.12        回滚 恶意软件 的操作时注册表键值被删除        HKEY_USERS\s-1-5-21-1996092049-2321144122-81588751-500\software\microsoft\windows\currentversion\internet settings\autoconfigurl        应用程序名称: C:\Users\Administrator\Desktop\EXE样本_20\Samp(5).exe        应用程序路径: c:\users\administrator\desktop\exe样本_20\samp(5).exe        时间: 2019/2/11 15:06
  13. 11.02.2019 15.06.12        回滚 恶意软件 的操作时注册表键值被删除        HKEY_USERS\s-1-5-21-1996092049-2321144122-81588751-500\software\microsoft\windows\currentversion\internet settings\proxyoverride        应用程序名称: C:\Users\Administrator\Desktop\EXE样本_20\Samp(5).exe        应用程序路径: c:\users\administrator\desktop\exe样本_20\samp(5).exe        时间: 2019/2/11 15:06
  14. 11.02.2019 15.06.12        回滚 恶意软件 的操作时注册表键值被删除        HKEY_USERS\s-1-5-21-1996092049-2321144122-81588751-500\software\microsoft\windows\currentversion\internet settings\proxyserver        应用程序名称: C:\Users\Administrator\Desktop\EXE样本_20\Samp(5).exe        应用程序路径: c:\users\administrator\desktop\exe样本_20\samp(5).exe        时间: 2019/2/11 15:06
  15. 11.02.2019 15.06.12        回滚 恶意软件 的操作时注册表键值被删除        HKEY_USERS\s-1-5-21-1996092049-2321144122-81588751-500\software\microsoft\windows\currentversion\internet settings\proxyenable        应用程序名称: C:\Users\Administrator\Desktop\EXE样本_20\Samp(5).exe        应用程序路径: c:\users\administrator\desktop\exe样本_20\samp(5).exe        时间: 2019/2/11 15:06
  16. 11.02.2019 15.06.12        已移除 恶意软件        PDM:Trojan.Win32.Generic        应用程序名称: C:\Users\Administrator\Desktop\EXE样本_20\Samp(5).exe        应用程序路径: c:\users\administrator\desktop\exe样本_20\samp(5).exe        时间: 2019/2/11 15:06
  17. 11.02.2019 15.06.03        已终止 恶意软件        PDM:Trojan.Win32.Generic        应用程序名称: C:\Users\Administrator\Desktop\EXE样本_20\Samp(5).exe        应用程序路径: C:\Users\Administrator\Desktop\EXE样本_20\Samp(5).exe        时间: 2019/2/11 15:06
  18. 11.02.2019 15.06.03        检测到 恶意软件        PDM:Trojan.Win32.Generic        应用程序名称: C:\Users\Administrator\Desktop\EXE样本_20\Samp(5).exe        应用程序路径: c:\users\administrator\desktop\exe样本_20\samp(5).exe        时间: 2019/2/11 15:06
复制代码


SUARP-BIGNUM
发表于 2019-2-11 15:18:14 | 显示全部楼层

改后缀360kill4,不想双击。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
 楼主| 发表于 2019-2-11 15:22:30 | 显示全部楼层

安天智甲、管家带不带BD,都报3X,编号都是1、3、4 。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
BE_HC
发表于 2019-2-11 15:43:13 | 显示全部楼层
本帖最后由 BE_HC 于 2019-2-11 15:51 编辑

Norton Scan Kill 4x
MISS “Samp(2).exe” --> 无法在CCAV沙箱中打开

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
huang1111
发表于 2019-2-11 16:11:08 | 显示全部楼层
卡巴kill4
漏了第五个样本,卡巴现在抽风着,上次你那个第一个样本还没有入库??!!每次静态扫描都说安全,结果一双击PDM就杀已经反馈给了技术支持了
huang1111
发表于 2019-2-11 16:16:56 | 显示全部楼层
huang1111 发表于 2019-2-11 16:11
卡巴kill4
漏了第五个样本,卡巴现在抽风着,上次你那个第一个样本还没有入库??!!每次静态扫描都说安 ...

感谢您提交到 Kaspersky Lab。

文件、URL 或两者已在自动模式下扫描。

在防病毒数据库中未找到有关指定文件的信息:
Samp(5).vir

我们将全面分析您发送的文件。如果分析结果与自动扫描结果不同,将通过电子邮件通知您。

静态扫描再次抽风
Jerry.Lin
发表于 2019-2-11 16:18:40 | 显示全部楼层
TrendMicro

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
huang1111
发表于 2019-2-11 16:21:35 | 显示全部楼层
行为描述:        直接调用系统关键API
详情信息:       
Index = 0x0000007D, Name: NtOpenSection, Instruction Address = 0x00402EF8

腾讯哈勃认为轻度威胁
www-tekeze
 楼主| 发表于 2019-2-11 16:27:17 | 显示全部楼层
huang1111 发表于 2019-2-11 16:21
行为描述:        直接调用系统关键API
详情信息:       
Index = 0x0000007D, Name: NtOpenSection, Instruction Ad ...

不奇怪,#5是个挖矿病毒,通常只能靠入库,行为分析不会有多大问题,行为主防也能杀就神奇了。。
huang1111
发表于 2019-2-11 16:28:50 | 显示全部楼层
www-tekeze 发表于 2019-2-11 16:27
不奇怪,#5是个挖矿病毒,通常只能靠入库,行为分析不会有多大问题,行为主防也能杀就神奇了。。

你上次那个#1卡巴都没入库,真的无语了,这对主防有多大的信心(虽然主防是能拦截)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-8-25 21:59 , Processed in 0.041034 second(s), 6 queries , MemCache On.

快速回复 返回顶部 返回列表