搜索
楼主: petr0vic
收起左侧

[病毒样本] RemcosRAT (19.06.21)

[复制链接]
ELOHIM
发表于 2019-6-22 23:05:20 | 显示全部楼层
petr0vic 发表于 2019-6-22 22:59
VT
Trojan:Win32/Fuerboos.B!cl

c:\Program Files\Windows Defender>MpCmdRun -ValidateMapsConnection
ValidateMapsConnection successfully established a connection to MAPS

云是正常的。。不明就里。

评分

参与人数 1人气 +1 收起 理由
Jerry.Lin + 1 可能被歧视了

查看全部评分

a233
发表于 2019-6-22 23:05:32 | 显示全部楼层
ELOHIM 发表于 2019-6-22 22:59
malware gen是什么类型的啊大神

恶意软件系,小a里比较常见的报毒名
ELOHIM
发表于 2019-6-22 23:07:53 | 显示全部楼层
a233 发表于 2019-6-22 23:05
恶意软件系,小a里比较常见的报毒名

是提的木马还是病毒还是激活工具呀。。。
a233
发表于 2019-6-22 23:10:08 | 显示全部楼层
ELOHIM 发表于 2019-6-22 23:07
是提的木马还是病毒还是激活工具呀。。。

木马一般报的是 trojan-gen 病毒和激活工具就基本报 malware-gen了
ELOHIM
发表于 2019-6-22 23:10:46 | 显示全部楼层
a233 发表于 2019-6-22 23:10
木马一般报的是 trojan-gen 病毒和激活工具就基本报 malware-gen了

嗯,好的,感谢解答。
温馨小屋
发表于 2019-6-22 23:12:22 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
温馨小屋
发表于 2019-6-22 23:28:27 | 显示全部楼层
文件名: a.exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用

____________________________

____________________________


在电脑上
2019/6/22 ( 23:25:34 )

上次使用时间
2019/6/22 ( 23:25:34 )

启动项


已启动


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


a.exe 威胁名称: SONAR.Heuristic.170
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
a.exe

____________________________

文件操作

文件: c:\Users\zry\Desktop\ a.exe 威胁已删除
文件: c:\Users\zry\AppData\Roaming\hpsupport\ hpsupport.exe 威胁已删除
目录: c:\users\zry\appdata\roaming\ hpsupport 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\zry\desktop\a.exe, PID:3560) 未采取操作
事件: 进程启动: c:\users\zry\desktop\ a.exe, PID:3532 (执行者 c:\users\zry\desktop\a.exe, PID:3560) 未采取操作
事件: 进程启动 (执行者 c:\users\zry\desktop\a.exe, PID:3532) 未采取操作
事件: 进程启动: c:\users\zry\desktop\ a.exe, PID:3560 (执行者 c:\users\zry\desktop\a.exe, PID:3560) 未采取操作
事件: PE 文件创建: c:\users\zry\appdata\roaming\hpsupport\ hpsupport.exe (执行者 c:\users\zry\desktop\a.exe, PID:3532) 未采取操作
事件: 进程启动: c:\users\zry\desktop\ a.exe, PID:3532 (执行者 c:\users\zry\desktop\a.exe, PID:3532) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用


www-tekeze
发表于 2019-6-22 23:30:58 | 显示全部楼层
智量入库杀,火绒miss,有空双击。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
,就一个.
发表于 2019-6-22 23:53:23 | 显示全部楼层
本帖最后由 ,就一个. 于 2019-6-22 23:55 编辑
ELOHIM 发表于 2019-6-22 23:05
c:\Program Files\Windows Defender>MpCmdRun -ValidateMapsConnection
ValidateMapsConnection success ...

Trojan:Win32/Azden.B!cl
我这云正常 哈哈哈
后缀带cl 微软说
此检测使用基于云的人工智能(AI)来识别新出现的恶意软件。它旨在捕获具有各种影响的威胁,包括银行特洛伊木马,僵尸网络,勒索软件,密码器和后门。

www-tekeze
发表于 2019-6-22 23:56:29 | 显示全部楼层
www-tekeze 发表于 2019-6-22 23:30
智量入库杀,火绒miss,有空双击。。

关闭智量监控双击,十几秒后被智量主防杀!

退出智量双击,十多秒后有动作了,添加自启、联网,调用powershell等,可以被反攻击规则很好拦截。。。因为会添加自启,重启试了下,自启程序hpsupport.exe果然又被智量主防杀!完美防御。。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-12-8 18:27 , Processed in 0.527070 second(s), 16 queries .

快速回复 返回顶部 返回列表