0517高质量样本

显示全部楼层 · 发表于 2019-5-17 12:07:16

样本下载地址：
https://www.lanzous.com/i46vssh
这个样本是来自10天前的变异样本，算是高质量吧。
防止智量人为入库吹牛逼，我已经提前测试好了扫描图和主防图。
(经过测试，智量完全不堪一击,之前的智量测试人员完全是吹嘘)

显示全部楼层 · 发表于 2019-5-17 12:09:53

Symantec启发杀主程序

显示全部楼层 · 发表于 2019-5-17 12:11:55

Avast扫描Miss 双击触发CyberCapture

显示全部楼层 · 发表于 2019-5-17 12:16:36

a233 发表于 2019-5-17 12:11
Avast扫描Miss 双击触发CyberCapture

分析结果

显示全部楼层 · 发表于 2019-5-17 12:19:49

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2019-5-17 12:19:52

ESET入库了：a variant of Win32/PSW.Legendmir.NLZ trojan

显示全部楼层 · 发表于 2019-5-17 12:21:31

本帖最后由 jumgg265 于 2019-5-17 12:26 编辑

VT现在18家报毒(压缩包上传）
https://www.virustotal.com/gui/f ... 02d74cdee/detection单exe文件上传29报毒
https://www.virustotal.com/gui/file/b881977bbe6b1b4714e3037d6670170f696cda174fe46e9fc2112cc2d7682e70/detection

显示全部楼层 · 发表于 2019-5-17 12:27:29

霄栋发表于 2019-5-17 12:19
ESET入库了：a variant of Win32/PSW.Legendmir.NLZ trojan

ESET学习能力不错，分析基本准确。属于远控收集类。

显示全部楼层 · 发表于 2019-5-17 12:28:47

卡巴扫描,不杀!双击不杀!
这样本虚拟机里没监控到驱动!,又是反虚拟机!!!
- <Folders>
  <Folder>C:\Users\123\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\F1U50WWF</Folder>

  <Folder>C:\Users\123\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SN0TFB9X</Folder>

  <Folder>C:\Users\123\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\W3WHUY1I</Folder>

  <Folder>D:\测试文件\Remote Access Trojan3\Data\books</Folder>

  <Folder>D:\测试文件\Remote Access Trojan3\Data\minimap</Folder>

  <Folder>D:\测试文件\Remote Access Trojan3\Data\ui</Folder>

  <Folder>D:\测试文件\Remote Access Trojan3\Sound</Folder>

  <Folder>D:\测试文件\Remote Access Trojan3\log</Folder>

  </Folders>

- <Files>
  <File>C:\Users\123\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NVIQJ953\Link_03[1].jpg</File>

  <File>C:\Users\123\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NVIQJ953\Link_04[1].jpg</File>

  <File>C:\Users\123\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NVIQJ953\stat[1].htm</File>

  <File>C:\Users\123\AppData\Roaming\Microsoft\Windows\Cookies\0Z4YNRSM.txt</File>

  <File>C:\Users\123\AppData\Roaming\Microsoft\Windows\Cookies\Z6D1U6BV.txt</File>

  <File>C:\Users\123\Desktop\三国合击.lnk</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\ChrSel.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\ChrSel.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\DnItems.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\DnItems.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\DnItems2.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\DnItems2.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Dragon.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Dragon.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Effect.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Effect.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Hair.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Hair.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Hair2.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Hair2.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Hum.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Hum.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Hum2.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Hum2.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Hum3.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Hum3.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\HumEffect.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\HumEffect.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\HumEffect2.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\HumEffect2.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\HumEffect3.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\HumEffect3.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Items.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Items.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Items2.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Items2.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\MagIcon.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\MagIcon.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\MagIcon2.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\MagIcon2.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Magic.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Magic.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Magic2.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Magic2.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Magic3.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Magic3.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Magic4.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Magic4.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Magic5.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Magic5.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Magic6.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Magic6.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon-kulou.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon-kulou.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon1.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon1.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon10.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon10.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon11.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon11.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon12.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon12.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon13.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon13.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon14.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon14.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon15.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon15.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon16.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon16.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon17.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon17.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon18.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon18.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon19.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon19.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon2.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon2.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon20.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon20.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon21.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon21.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon22.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon22.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon23.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon23.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon24.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon24.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon25.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon25.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon26.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon26.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon27.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon27.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon28.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon28.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon29.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon29.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon3.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon3.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon30.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon30.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon31.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon31.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon32.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon32.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon33.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon33.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon34.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon34.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon35.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon35.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon36.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon36.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon37.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon37.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon38.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon38.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon39.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon39.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon4.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon4.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon40.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon40.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon5.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon5.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon6.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon6.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon7.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon7.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon8.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon8.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon9.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Mon9.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\NewopUI.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\NewopUI.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Npc.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Npc.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Npc2.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Npc2.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\StateEffect.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\StateEffect.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\StateItem.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\StateItem.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\StateItem2.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\StateItem2.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Weapon.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Weapon.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Weapon2.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Weapon2.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Weapon3.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\Weapon3.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\cboEffect.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\cboEffect.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\cboHumEffect.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\cboHumEffect.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\cboHumEffect2.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\cboHumEffect2.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\cboHumEffect3.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\cboHumEffect3.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\cbohair.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\cbohair.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\cbohum.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\cbohum.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\cbohum3.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\cbohum3.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\cboweapon.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\cboweapon.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\cboweapon3.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\cboweapon3.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\lsDefaultItemFilter.txt</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\magic10.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\magic10.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\magic7-16.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\magic7-16.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\magic7.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\magic7.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\magic8-16.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\magic8-16.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\magic8.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\magic8.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\magic9.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\magic9.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\mmap.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\mmap.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\npal-16.idx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\npal.idx</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\ui1.wzl</File>

  <File>D:\测试文件\Remote Access Trojan3\Data\ui1.wzx</File>

  <File>D:\测试文件\Remote Access Trojan3\Wav\sound2.lst</File>

  <File>D:\测试文件\Remote Access Trojan3\bass.dll</File>

  <File>D:\测试文件\Remote Access Trojan3\lscfg.ini</File>

  <File>D:\测试文件\Remote Access Trojan3\三国合击.exe</File>

  </Files>

- <RegistryKeys>
  <Key>HKEY_CURRENT_USER\Software\BlueSoft</Key>

  <Key>HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\MediaResources</Key>

  </RegistryKeys>

  </ProgramTraces>

显示全部楼层 · 发表于 2019-5-17 12:29:28

APC Kill

冰血封心头像被屏蔽	楼主\| 发表于 2019-5-17 12:19:49 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
冰血封心头像被屏蔽
	回复举报

[病毒样本] 0517高质量样本

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源