一个免杀远控

显示全部楼层 · 发表于 2019-7-13 13:58:32

https://www.lanzous.com/i4yq0sh蓝奏云，下载挺快

显示全部楼层 · 发表于 2019-7-13 14:02:29

本帖最后由温馨小屋于 2019-7-13 14:11 编辑

卡巴

双击，桌面文件被删空，病毒进程跑起来了，PDM哑火

显示全部楼层 · 发表于 2019-7-13 14:05:16

本帖最后由温馨小屋于 2019-7-13 14:06 编辑

显示全部楼层 · 发表于 2019-7-13 14:11:24

火绒Kill2x
风险路径：C:\Users\52Pojie\Desktop\图片\Data\UClientStartup.dll, 病毒名：Backdoor/Hetile.a, 病毒ID：3186c3ac5ab1a169, 处理结果：已忽略
风险路径：C:\Users\52Pojie\Desktop\图片\图片.exe, 病毒名：HEUR:Trojan/Fake.b, 病毒ID：e127cdf37155b76a, 处理结果：已忽略
有一个QQNetbar.exe没有（5.1的病毒库）
补充：更新后一样没变化

显示全部楼层 · 发表于 2019-7-13 14:13:53

Avast Miss
双击只能靠防火墙来拦截

显示全部楼层 · 发表于 2019-7-13 14:18:23

本帖最后由 2512975065 于 2019-7-13 14:26 编辑

运行QQNETBAR，火绒报毒

显示全部楼层 · 发表于 2019-7-13 14:25:08

本帖最后由 BE_HC 于 2019-7-14 18:07 编辑

Norton Scan&Run MISS

访问以下IP：

带有可信数签：

释放隐藏文件：

——————————————————————

Assessment

File 1:	QQNetBar.exe
MD5:	daba7df90a28955034b9a2e467ca9264
SHA256:	75eb9c8736e126b0ccb903b11cab618458a845253f158d32fab1dd32adafa5b3
Determination:	Clean
Submission Detail:	This file is clean.

                                 This message was generated by Symantec Security Response automation.

                                 More information on Threat Artifact determinations can be found in the article:                                  What is a Threat Artifact?

                                                Should you have any questions about your submission, please contact our regional                                  technical support from the Symantec Web site and give them the tracking number                                  included in this message.

                                 Symantec Technical Support
                                 http://support.symantec.com

Sincerely,
Symantec Security Response

显示全部楼层 · 发表于 2019-7-13 14:26:58

智量2.05，监控开启失败状态，手动更新后，全部Miss(可能出问题了，此测试并不可信）

显示全部楼层 · 发表于 2019-7-13 14:30:21

总之火绒是全部拦截了

显示全部楼层 · 发表于 2019-7-13 14:44:23

gd kill

显示全部楼层 · 发表于 2019-7-13 15:08:20

FSP miss
2019/7/13 14:59:59 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\users\jdsh\downloads\图片\图片.exe
命令行: "C:\Users\jdsh\Downloads\图片\图片.exe"
规则: [应用程序]*

2019/7/13 15:00:01 创建新进程允许
进程: c:\windows\system32\svchost.exe
目标: c:\users\jdsh\downloads\图片\图片.exe
命令行: "C:\Users\jdsh\Downloads\图片\图片.exe"
规则: [应用程序]*

2019/7/13 15:00:02 修改文件允许
进程: c:\users\jdsh\downloads\图片\图片.exe
目标: \Device\NamedPipe\__fships_hook_server__
规则: [文件]*

2019/7/13 15:00:04 创建新进程允许
进程: c:\users\jdsh\downloads\图片\图片.exe
目标: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
命令行: "Data\QQNetBar.exe"
规则: [应用程序]*

2019/7/13 15:00:07 创建文件夹允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame
规则: [文件]*

2019/7/13 15:00:08 设置文件夹隐藏属性允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame
规则: [文件]*

2019/7/13 15:00:10 创建文件允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame\pass.gif
规则: [文件]*

2019/7/13 15:00:13 修改文件允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame\pass.gif
规则: [文件]*

2019/7/13 15:00:14 创建文件允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame\QQNetBar.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2019/7/13 15:00:16 创建文件允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame\UClientStartup.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2019/7/13 15:00:18 修改文件允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame\QQNetBar.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2019/7/13 15:00:21 修改文件允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: C:\ProgramData\F-Secure\Log\ComputerSecurity\ShellExtension.log
规则: [文件]*

2019/7/13 15:00:23 修改文件允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: C:\ProgramData\F-Secure\Log\CCF\fs_customization_reader.log
规则: [文件]*

2019/7/13 15:00:57 修改文件允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: \Device\NamedPipe\FS_CCFIPC_9789836347330146333
规则: [文件]*

2019/7/13 15:00:58 修改文件允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: \Device\NamedPipe\srvsvc
规则: [文件]*

2019/7/13 15:01:02 创建新进程允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: c:\users\jdsh\appdata\roaming\playgame\qqnetbar.exe
命令行: "C:\Users\jdsh\AppData\Roaming\playgame\QQNetBar.exe" lvse
规则: [应用程序]*

2019/7/13 15:01:10 创建新进程允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: c:\windows\system32\rundll32.exe
命令行: rundll32.exe C:\Windows\System32\shimgvw.dll,ImageView_Fullscreen C:\Users\jdsh\Downloads\图片\Data\使用说明.png
规则: [应用程序]*

2019/7/13 15:01:17 修改文件 (4) 允许
进程: c:\users\jdsh\appdata\roaming\playgame\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame\pass.gif
规则: [文件]*

2019/7/13 15:01:24 修改文件 (2) 允许
进程: c:\users\jdsh\appdata\roaming\playgame\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame\QQNetBar.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2019/7/13 15:01:26 修改文件允许
进程: c:\users\jdsh\appdata\roaming\playgame\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame\UClientStartup.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2019/7/13 15:01:30 创建文件允许
进程: c:\users\jdsh\appdata\roaming\playgame\qqnetbar.exe
目标: C:\QQGame.exe
规则: [文件]?:\

2019/7/13 15:01:31 修改文件允许
进程: c:\users\jdsh\appdata\roaming\playgame\qqnetbar.exe
目标: C:\QQGame.exe
规则: [文件]?:\

2019/7/13 15:01:33 创建新进程允许
进程: c:\users\jdsh\appdata\roaming\playgame\qqnetbar.exe
目标: c:\qqgame.exe
命令行: c:\QQGame.exe
规则: [应用程序]*

2019/7/13 15:01:38 底层键盘操作阻止并结束进程
进程: c:\users\jdsh\appdata\roaming\playgame\qqnetbar.exe
规则: [应用程序]*

2019/7/13 15:01:45 修改文件阻止并结束进程
进程: c:\qqgame.exe
目标: \Device\NamedPipe\__fships_hook_server__
规则: [文件]*

2019/7/13 15:01:47 访问网络阻止并结束进程
进程: c:\users\jdsh\appdata\roaming\playgame\qqnetbar.exe
目标: TCP [本机 : 49504] -> [120.24.231.105 : 5555]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

显示全部楼层 · 发表于 2019-7-13 15:23:34

a2挂咯

各种花里胡哨的，记录键盘，访问摄像头，截图窗口.

显示全部楼层 · 发表于 2019-7-13 15:26:12

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2019-7-13 16:51:49

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2019-7-13 16:52:33

skilly 发表于 2019-7-13 15:23
a2挂咯

可以把截图删掉了？

显示全部楼层 · 发表于 2019-7-13 20:37:56

5个文件，绒智都是杀2X，图片.exe 和 UClientStartup.dll 。。。剩余有空双击。。

显示全部楼层 · 发表于 2019-7-13 21:02:04

显示全部楼层 · 发表于 2019-7-13 21:56:49

2512975065 发表于 2019-7-13 14:18
运行QQNETBAR，火绒报毒

这个QQNetBar有阿里有效数签，怎么成勒索了。。

@火绒工程师

我这里双击没发现问题，只是会联网而已，智量主防也没反应！

显示全部楼层 · 发表于 2019-7-13 22:14:48

本帖最后由 www-tekeze 于 2019-7-13 22:37 编辑

www-tekeze 发表于 2019-7-13 21:56
这个QQNetBar有阿里有效数签，怎么成勒索了。。 @火绒工程师

我这里双击没发现问题，只是会 ...

刚才多次双击样本没重启，可能火绒出问题了。。。现在报黑dll为后门但不报QQNetBar.exe 。。

显示全部楼层 · 发表于 2019-7-13 22:23:58

www-tekeze 发表于 2019-7-13 22:14
刚才多次双击样本没重启，可能火绒出问题了，现在会报后门不是主防报勒索，但智量监控和主防都没反应，被 ...

头晕吧，这个样本活跃度很强

iiieo 头像被屏蔽	发表于 2019-7-13 15:26:12 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
iiieo 头像被屏蔽
	回复举报

iiieo 头像被屏蔽	发表于 2019-7-13 16:51:49 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
iiieo 头像被屏蔽
	回复举报

[病毒样本] 一个免杀远控

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源