查看: 1773|回复: 16
收起左侧

[病毒样本] CVE-2017-8570 (19.07.23)

[复制链接]
Jerry.Lin
发表于 2019-7-23 15:02:26 | 显示全部楼层 |阅读模式

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
猥琐大叔
发表于 2019-7-23 15:04:45 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
静影沉璧
发表于 2019-7-23 15:05:08 | 显示全部楼层
BD miss
AK2019
发表于 2019-7-23 15:06:27 | 显示全部楼层
Rising V17 Exploit.CVE-2017-8570!1.AFC6
ELOHIM
发表于 2019-7-23 15:20:00 | 显示全部楼层
wd : Trojan:Win32/Casdet!rfn
记录微笑
发表于 2019-7-23 15:27:14 | 显示全部楼层
McAfee
运行先是一个EXE触发ATP,然后监控删了一个VBS
  1. NT AUTHORITY\ANONYMOUS LOGON 运行的 C:\Program Files\Microsoft Office\Office14\WINWORD.EXE 试图访问了 C:\Sandbox\Sky\DefaultBox\user\current\AppData\Local\Temp\Abctfhghghghghg.scT\00000152.vbs。 已检测并删除了名为 VBS/Downloader.ms 的 特洛伊木马程序。
  2. 分析器/检测程序
  3. 分析器内容创建日期        2019年7月22日 上午7:27
  4. 产品名称        McAfee Endpoint Security
  5. 产品版本        10.6.0
  6. McAfee GTI 查询        否
  7. 任务名称        按访问扫描
  8. 功能名称        按访问扫描

  9. 威胁
  10. 执行的操作        删除
  11. 威胁类别        检测到恶意软件
  12. 威胁在创建时被检测到        否
  13. 威胁事件 ID        1025
  14. 威胁已被处理        是
  15. 威胁名称        VBS/Downloader.ms
  16. 威胁严重性        严重
  17. 威胁时间戳        2019年7月23日 下午3:24
  18. 威胁类型        特洛伊木马程序


  19. 源主机名        Sky-PC
  20. 源进程名称        C:\Program Files\Microsoft Office\Office14\WINWORD.EXE

  21. 目标
  22. 目标访问时间        2019年7月23日 下午3:23
  23. 目标创建时间        2019年7月23日 下午3:23
  24. 目标文件大小(字节)        3295
  25. 目标哈希        142f0fe96731d45b1ab8aa9548365a1e
  26. 目标主机名        Sky-PC
  27. 目标修改时间        2019年7月23日 下午3:23
  28. 目标名        00000152.vbs
  29. 目标路径        C:\Sandbox\Sky\DefaultBox\user\current\AppData\Local\Temp\Abctfhghghghghg.scT
  30. 目标用户名        NT AUTHORITY\ANONYMOUS LOGON

  31. 其他
  32. 媒介类型        本地系统
  33. 可清理        是
  34. 检测消息        McAfee Endpoint Security 检测到威胁。
  35. 检测隔离 ID        {20F79739-6132-4F91-A285-0007A36275E2}
  36. 检测前的持续时间(天)        0
  37. 说明        NT AUTHORITY\ANONYMOUS LOGON 运行的 C:\Program Files\Microsoft Office\Office14\WINWORD.EXE 试图访问了 C:\Sandbox\Sky\DefaultBox\user\current\AppData\Local\Temp\Abctfhghghghghg.scT\00000152.vbs。 已检测并删除了名为 VBS/Downloader.ms 的 特洛伊木马程序。
  38. 首次操作状态        成功
  39. 首次尝试操作        清理
  40. 第二次操作状态        失败
  41. 第二次尝试操作        删除
复制代码

  1. 自适应威胁防护已修复 C:\SANDBOX\SKY\DEFAULTBOX\USER\CURRENT\APPDATA\ROAMING\OLNLYZ.EXE,因为其信誉 (已知恶意文件) 低于配置的清理阈值。
  2. 分析器/检测程序
  3. 产品名称        McAfee Endpoint Security
  4. 产品版本        10.6.1.1064
  5. McAfee GTI 查询        是
  6. 功能名称        On-Execute Scan

  7. 威胁
  8. 执行的操作        清理
  9. 威胁类别        检测到恶意软件
  10. 威胁事件 ID        35107
  11. 威胁已被处理        是
  12. 威胁名称        ATP/Suspect!00448230ca21
  13. 威胁严重性        严重
  14. 威胁时间戳        2019年7月23日 下午3:24
  15. 威胁类型        特洛伊木马程序


  16. 源访问时间        2019年7月21日 上午9:45
  17. 源创建时间        2011年3月18日 下午11:20
  18. 源文件大小        1423704
  19. 源主机名        Sky-PC
  20. 源修改时间        2011年3月18日 下午11:20
  21. 源进程名称        C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\WINWORD.EXE
  22. 源用户名        Sky-PC\Sky

  23. 目标
  24. 目标哈希        bd52bfa1fcc148689ae276686d355c08
  25. 目标主机名        Sky-PC
  26. 目标名        OLNLYZ.EXE
  27. 目标路径        C:\SANDBOX\SKY\DEFAULTBOX\USER\CURRENT\APPDATA\ROAMING

  28. 其他
  29. 媒介类型        本地系统
  30. 检测消息        自适应威胁防护检测
  31. 检测隔离 ID        {80F39C8C-5790-4220-9ED4-41CAFED25CCB}
复制代码



54ss
发表于 2019-7-23 15:28:40 | 显示全部楼层
火绒 扫描 miss
咖啡战士XD
发表于 2019-7-23 17:04:32 | 显示全部楼层
TrendMicro 2020beta: Trojan.W97M.CVE20178570.SM
BE_HC
发表于 2019-7-23 17:08:07 | 显示全部楼层
本帖最后由 BE_HC 于 2019-7-23 17:11 编辑

Norton Scan Kill
两报读名,都是启发式

ISB.Downloader!gen60 is a heuristic detection used to detect threats associated with script downloader families.







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
何江海
发表于 2019-7-23 17:11:33 | 显示全部楼层
解压密码呢...
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 08:54 , Processed in 0.140750 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表