几枚样本（4.21）

1446547521

https://www.lanzous.com/i3uxt7c infected



小A干掉了12个

Eset小粉絲

Kaspersky 12/13

a233

Avast扫描报12个,实际处理了11个(有一个样本一直处理失败)剩余四个(扩展名是我自己改的，打算双击)
* Avast 扫描报告
* 该文件是自动生成的
* 扫描名称: 从 Windows 资源管理器进行扫描
* 开始于: 2019年4月21日 18:01:01
* VPS: 190421-0, 2019/04/21
C:\Users\Administrastor\Desktop\新建文件夹\13.bin [L] Win32:Malware-gen (0)
C:\Users\Administrastor\Desktop\新建文件夹\8.bin [L] Win32:Trojan-gen (0)
C:\Users\Administrastor\Desktop\新建文件夹\12.bin [L] Win32:Malware-gen (0)
C:\Users\Administrastor\Desktop\新建文件夹\10.bin [L] Win32:Trojan-gen (0)
C:\Users\Administrastor\Desktop\新建文件夹\11.bin [L] Win32:TrojanX-gen [Trj] (0)
C:\Users\Administrastor\Desktop\新建文件夹\2.bin|>C:\C:C:..\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hi.exe [L] Win32:RootkitX-gen [Rtk] (0)
C:\Users\Administrastor\Desktop\新建文件夹\9.bin|>blaz42\b.class [L] Java:JRat-D [Trj] (0)
C:\Users\Administrastor\Desktop\新建文件夹\9.bin|>blaz42\c.class [L] Java:JRat-B [Trj] (0)
C:\Users\Administrastor\Desktop\新建文件夹\9.bin|>blaz42\d.class [L] Java:JRat-C [Trj] (0)
C:\Users\Administrastor\Desktop\新建文件夹\3.bin [L] FileRepMalware [PUP] (0)
C:\Users\Administrastor\Desktop\新建文件夹\1.bin|>XazorrqEtu9xHZEcffdP.exe|>autopass.dll [E] 压缩档受密码保护。 (42056)
C:\Users\Administrastor\Desktop\新建文件夹\1.bin|>XazorrqEtu9xHZEcffdP.exe|>WatchBull.exe [E] 压缩档受密码保护。 (42056)
C:\Users\Administrastor\Desktop\新建文件夹\1.bin|>XazorrqEtu9xHZEcffdP.exe|>dogs\dasHost.exe [E] 压缩档受密码保护。 (42056)
C:\Users\Administrastor\Desktop\新建文件夹\1.bin|>XazorrqEtu9xHZEcffdP.exe|>dogs\regedit.exe [E] 压缩档受密码保护。 (42056)
C:\Users\Administrastor\Desktop\新建文件夹\1.bin|>XazorrqEtu9xHZEcffdP.exe|>dogs\RuntimeBroker.exe [E] 压缩档受密码保护。 (42056)
C:\Users\Administrastor\Desktop\新建文件夹\1.bin|>XazorrqEtu9xHZEcffdP.exe|>dogs\WebHelper.exe [E] 压缩档受密码保护。 (42056)
C:\Users\Administrastor\Desktop\新建文件夹\1.bin|>XazorrqEtu9xHZEcffdP.exe|>WatchDog.data [E] 压缩档受密码保护。 (42056)
C:\Users\Administrastor\Desktop\新建文件夹\1.bin|>XazorrqEtu9xHZEcffdP.exe|>Main.exe [E] 压缩档受密码保护。 (42056)
C:\Users\Administrastor\Desktop\新建文件夹\1.bin|>XazorrqEtu9xHZEcffdP.exe|>updaterparams [E] 压缩档受密码保护。 (42056)
C:\Users\Administrastor\Desktop\新建文件夹\1.bin|>XazorrqEtu9xHZEcffdP.exe|>e6ee5674bb9446c78bbc5729af6e2c28.exe [E] 压缩档受密码保护。 (42056)
C:\Users\Administrastor\Desktop\新建文件夹\1.bin|>XazorrqEtu9xHZEcffdP.exe|>BZYtJFxZwNUy5iFYr0oQMnBdEipWM4.bat [E] 压缩档受密码保护。 (42056)
C:\Users\Administrastor\Desktop\新建文件夹\1.bin|>XazorrqEtu9xHZEcffdP.exe|>SQLite.Interop.dll [E] 压缩档受密码保护。 (42056)
C:\Users\Administrastor\Desktop\新建文件夹\1.bin|>XazorrqEtu9xHZEcffdP.exe|>vmcheck32.dll [E] 压缩档受密码保护。 (42056)
C:\Users\Administrastor\Desktop\新建文件夹\1.bin|>XazorrqEtu9xHZEcffdP.exe|>fontreview.exe [E] 压缩档受密码保护。 (42056)
C:\Users\Administrastor\Desktop\新建文件夹\1.bin|>XazorrqEtu9xHZEcffdP.exe|>System.vbe [E] 压缩档受密码保护。 (42056)
C:\Users\Administrastor\Desktop\新建文件夹\1.bin [L] Win32:Trojan-gen (0)
C:\Users\Administrastor\Desktop\新建文件夹\4.bin [L] Win32:Malware-gen (0)
感染文件: 12
文件总计: 44

Jerry.Lin

1. 病毒库时间：2019-04-20 18:23
   
2. 开始时间：2019-04-21 18:05
   
3. 总计用时：00:00:04
   
4. 扫描对象：41
   
5. 扫描文件：13
   
6. 发现风险：4
   
7. 已处理风险：0
   
8. 
   
9. 病毒详情
   
10. 
    
11. 
    
12. 风险路径：C:\Users\zhong\Downloads\Compressed\卡饭\kafan\10.bin, 病毒名：Trojan/Agent.ar, 病毒ID：f66aca9f21d90eff, 处理结果：已忽略
    
13. 风险路径：C:\Users\zhong\Downloads\Compressed\卡饭\kafan\6.bin, 病毒名：HEUR:VirTool/DelfInjector.gen!G, 病毒ID：b144744fed23be5, 处理结果：已忽略
    
14. 风险路径：C:\Users\zhong\Downloads\Compressed\卡饭\kafan\7.bin >> xls.js, 病毒名：SVM:TrojanDownloader/JS.MalBehav.gen!D, 病毒ID：89a86db6bd6f9819, 处理结果：已忽略
    
15. 风险路径：C:\Users\zhong\Downloads\Compressed\卡饭\kafan\4.bin, 病毒名：HackTool/CoinMiner.a, 病毒ID：a9af5c81f530b21f, 处理结果：已忽略
    

复制代码

1. Emsisoft Commandline Scanner - Version 2018.6
   
2. Last update: 2019/4/21 18:07:08
   
3. 
   
4. Scan settings:
   
5. 
   
6. Scan type:                             Custom Scan
   
7. Objects:                               C:\Users\zhong\Downloads\Compressed\卡饭\kafan
   
8. 
   
9. Detect Potentially Unwanted Programs:  On
   
10. Scan archives:                         On
    
11. Scan mail archives:                    Off
    
12. ADS Scan:                              On
    
13. File extensions:                       Off
    
14. Direct disk access:                    Off
    
15. 
    
16. Scan start:                            2019/4/21 18:07:09
    
17. 
    
18. C:\Users\zhong\Downloads\Compressed\卡饭\kafan\2.bin -> C:\C:C:../AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hi.exe         detected: Generic.Malware.SL!bg.2F1D8B3C (B)
    
19. C:\Users\zhong\Downloads\Compressed\卡饭\kafan\7.bin -> xls.js -> (INFECTED_JS)         detected: JS:Trojan.JS.Agent.TIU (B)
    
20. C:\Users\zhong\Downloads\Compressed\卡饭\kafan\10.bin         detected: Trojan.PWS.Delf.INS (B)
    
21. C:\Users\zhong\Downloads\Compressed\卡饭\kafan\1.bin         detected: Trojan.GenericKD.41199644 (B)
    
22. C:\Users\zhong\Downloads\Compressed\卡饭\kafan\3.bin         detected: Application.InstallCore (A)
    
23. C:\Users\zhong\Downloads\Compressed\卡饭\kafan\12.bin         detected: Gen:Variant.Razy.295867 (B)
    
24. C:\Users\zhong\Downloads\Compressed\卡饭\kafan\13.bin         detected: Gen:Variant.MSILPerseus.120648 (B)
    
25. C:\Users\zhong\Downloads\Compressed\卡饭\kafan\11.bin         detected: Gen:Variant.Mikey.96365 (B)
    
26. C:\Users\zhong\Downloads\Compressed\卡饭\kafan\4.bin         detected: Trojan.GenericKD.41216938 (B)
    
27. C:\Users\zhong\Downloads\Compressed\卡饭\kafan\8.bin         detected: Gen:Variant.Graftor.580703 (B)
    
28. C:\Users\zhong\Downloads\Compressed\卡饭\kafan\9.bin         detected: Gen:Variant.Razy.263738 (B)
    
29. 
    
30. Scanned           13
    
31. Found             11
    
32. Removed           11
    
33. 
    
34. 
    
35. Scan end:         2019/4/21 18:07:22
    
36. Scan time:        0:00:13
    

复制代码

a233

a233 发表于 2019-4-21 18:04
Avast扫描报12个,实际处理了11个(有一个样本一直处理失败)剩余四个(扩展名是我自己改的，打算双击)
* Avas ...

双击2.bin(exe)无法运行
5.bin(exe)双击后什么事情都没发生，盗号？
6.bin(exe)运行出错
7.bin(exe)双击等了很久都没跑出行为

jdsh

WD

miss6个

761773275

Quick Heal 4x


C:\Users\*zavier\Desktop\kafan\10.bin
Detected: "Trojan.GenericPMF.S4165517"

C:\Users\*zavier\Desktop\kafan\12.bin
Detected: "Trojan.YakbeexMSIL.ZZ4"


C:\Users\*zavier\Desktop\kafan\13.bin
Detected: "Genvariant.Msilperseus"


C:\Users\*zavier\Desktop\kafan\2.bin
Detected: "Exp.ACE.CVE-2018-20250"

FSP 监控+扫描杀10X，双击DG拦截3X

监控9X:
2.bin - Exploit.EXP/CVE-2018-20250.Gen
3.bin - PotentialRisk.PUA/AD.InstallCore
7.bin - Heuristic.HEUR/Suspar.Gen
8.bin - Trojan.TR/Spy.Agent.lwxhw
9.bin - Trojan.TR/Dropper.Gen
10.bin - Trojan.TR/Crypt.XPACK.Gen
11.bin - Trojan.TR/Spy.Agent.imrmm
12.bin - Trojan.TR/Agent.dadzb
13.bin - Trojan.TR/Keylog.btuqq

扫描1X：
1.bin - Trojan.TR/Vasal.lwkem

DG拦截3X：
4.bin - Suspicious:W32/Malware!DeepGuard.n
5.bin - Suspicious:W32/Malware!DeepGuard.n
6.bin - Suspicious:W32/Malware!DeepGuard.n

ATP_synthase

卡巴监控+扫描

c/mm

Dr.web
miss 5、6、8、12