EXE样本5X_50

显示全部楼层 · 发表于 2019-8-27 10:03:52

RT，想双击自己改后缀，风险自负。。

密码：infected

显示全部楼层 · 发表于 2019-8-27 10:13:06

本帖最后由驭龙于 2019-8-27 11:00 编辑

黑寡妇杀X4

双击三号样本，黑寡妇除了自定义规则，拦截启动项之外，没有反应
2019.8.27 10:40 Behavior Analysis Access to the protected object is blocked by Behavior Analysis PID: 9928 Process: D:\12345\EXE样本5X_50\Samp(3).exe Object: Program autorun

样本成功在C:\Users\用户名\AppData\Roaming\位置，创建随机文件夹zcrfmszmkp以及文件voxxdaatraftuxd

显示全部楼层 · 发表于 2019-8-27 10:19:16

本帖最后由 FD丶纸鸢于 2019-8-27 10:24 编辑

卡巴杀3个4报RemoteAdmin
是个远程管理软件
5卡巴扫描miss 双击后弹个窗就没了

显示全部楼层 · 发表于 2019-8-27 10:20:14

本帖最后由 QVM360 于 2019-8-27 10:39 编辑

360OEM红伞 killed 2x(samp1,samp2)
360无红伞 killed 1x（samp1)
智量Heur杀3x(samp1,samp2,samp3)，samp4智量报毒risktool.generic，miss samp5
火绒入库杀samp2，其他全Miss
图太大发不了
改后缀为exe后
360无红伞杀1，3，4
OEM红伞杀1，2，3，4
注意一下Samp(2).vir好像加了zprotect壳

显示全部楼层 · 发表于 2019-8-27 10:22:44

卡巴扫描杀4个，Samp(5).vir没有杀
不过看VT上只有3家报：https://www.virustotal.com/gui/f ... d1d9e0a2b/detection

显示全部楼层 · 发表于 2019-8-27 10:29:06

本帖最后由 QVM360 于 2019-8-27 10:45 编辑

微步测试结果：
samp1:https://s.threatbook.cn/report/f ... p1_enx64_office2013
samp2:https://s.threatbook.cn/report/f ... p1_enx64_office2013，注意看这个，检测反病毒软件，还加壳，应该是后门
samp3:https://s.threatbook.cn/report/f ... p1_enx64_office2013（微步卡bug，“没有行为”，但根据360报毒名应该是盗号木马）
samp4:https://s.threatbook.cn/report/f ... p1_enx64_office2013（顺便问一下，报毒名有"RemoteAdmin"是什么毒？）
samp5:https://s.threatbook.cn/report/f ... p1_enx64_office2013(几乎没有行为）

显示全部楼层 · 发表于 2019-8-27 10:31:39

卡巴杀4个!剩下一个运行闪退!

显示全部楼层 · 发表于 2019-8-27 11:06:11

wd scan miss 4,5

显示全部楼层 · 发表于 2019-8-27 11:21:12

安天和无BD管家，都是杀一个Samp(1) 。

显示全部楼层 · 发表于 2019-8-27 11:28:00

本帖最后由咖啡战士XD 于 2019-8-27 11:33 编辑

Trend Micro 16 扫描miss all

双击，勒索防护拦截samp(1)
PS：最近双击才发现，趋势安全等级开高后，按信誉拦截未知程序，人工放行后并不会加白，AEGIS会继续监控该程序的行为，样本仍然可以触发主防拦截。如本贴中的samp(1)，一开始触发信誉拦截，我手动放行，后续又触发勒索防护被趋势自动终止。这样看的话，趋势这个安全等级开高和avast开加强模式应该差不多（基于信誉拦截，放行后仍受主防监控）

[病毒样本] EXE样本5X_50

本帖子中包含更多资源

本帖子中包含更多资源

评分

评分

本帖子中包含更多资源

本帖子中包含更多资源