RemcosRAT (19.06.21)

显示全部楼层 · 发表于 2019-6-22 23:05:20

petr0vic 发表于 2019-6-22 22:59
VT
Trojan:Win32/Fuerboos.B!cl

c:\Program Files\Windows Defender>MpCmdRun -ValidateMapsConnection
ValidateMapsConnection successfully established a connection to MAPS

云是正常的。。不明就里。

显示全部楼层 · 发表于 2019-6-22 23:05:32

ELOHIM 发表于 2019-6-22 22:59
malware gen是什么类型的啊大神

恶意软件系，小a里比较常见的报毒名

显示全部楼层 · 发表于 2019-6-22 23:07:53

a233 发表于 2019-6-22 23:05
恶意软件系，小a里比较常见的报毒名

是提的木马还是病毒还是激活工具呀。。。

显示全部楼层 · 发表于 2019-6-22 23:10:08

ELOHIM 发表于 2019-6-22 23:07
是提的木马还是病毒还是激活工具呀。。。

木马一般报的是 trojan-gen 病毒和激活工具就基本报 malware-gen了

显示全部楼层 · 发表于 2019-6-22 23:10:46

a233 发表于 2019-6-22 23:10
木马一般报的是 trojan-gen 病毒和激活工具就基本报 malware-gen了

嗯，好的，感谢解答。

显示全部楼层 · 发表于 2019-6-22 23:12:22

显示全部楼层 · 发表于 2019-6-22 23:28:27

文件名: a.exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用

____________________________

____________________________

在电脑上
2019/6/22 ( 23:25:34 )

上次使用时间
2019/6/22 ( 23:25:34 )

启动项
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

a.exe 威胁名称: SONAR.Heuristic.170
定位

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
a.exe

____________________________

文件操作

文件: c:\Users\zry\Desktop\ a.exe 威胁已删除
文件: c:\Users\zry\AppData\Roaming\hpsupport\ hpsupport.exe 威胁已删除
目录: c:\users\zry\appdata\roaming\ hpsupport 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\zry\desktop\a.exe, PID:3560) 未采取操作
事件: 进程启动: c:\users\zry\desktop\ a.exe, PID:3532 (执行者 c:\users\zry\desktop\a.exe, PID:3560) 未采取操作
事件: 进程启动 (执行者 c:\users\zry\desktop\a.exe, PID:3532) 未采取操作
事件: 进程启动: c:\users\zry\desktop\ a.exe, PID:3560 (执行者 c:\users\zry\desktop\a.exe, PID:3560) 未采取操作
事件: PE 文件创建: c:\users\zry\appdata\roaming\hpsupport\ hpsupport.exe (执行者 c:\users\zry\desktop\a.exe, PID:3532) 未采取操作
事件: 进程启动: c:\users\zry\desktop\ a.exe, PID:3532 (执行者 c:\users\zry\desktop\a.exe, PID:3532) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2019-6-22 23:30:58

智量入库杀，火绒miss，有空双击。。

显示全部楼层 · 发表于 2019-6-22 23:53:23

本帖最后由，就一个. 于 2019-6-22 23:55 编辑

ELOHIM 发表于 2019-6-22 23:05
c:\Program Files\Windows Defender>MpCmdRun -ValidateMapsConnection
ValidateMapsConnection success ...

Trojan:Win32/Azden.B!cl
我这云正常哈哈哈
后缀带cl 微软说
此检测使用基于云的人工智能（AI）来识别新出现的恶意软件。它旨在捕获具有各种影响的威胁，包括银行特洛伊木马，僵尸网络，勒索软件，密码器和后门。

显示全部楼层 · 发表于 2019-6-22 23:56:29

www-tekeze 发表于 2019-6-22 23:30
智量入库杀，火绒miss，有空双击。。

关闭智量监控双击，十几秒后被智量主防杀！

退出智量双击，十多秒后有动作了，添加自启、联网，调用powershell等，可以被反攻击规则很好拦截。。。因为会添加自启，重启试了下，自启程序hpsupport.exe果然又被智量主防杀！完美防御。。

[病毒样本] RemcosRAT (19.06.21)

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块