搜索
查看: 1272|回复: 20
收起左侧

[病毒样本] EXE样本5X_50

[复制链接]
www-tekeze
发表于 2019-8-27 10:03:52 | 显示全部楼层 |阅读模式

RT,想双击自己改后缀,风险自负。。   密码:infected



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
驭龙
发表于 2019-8-27 10:13:06 | 显示全部楼层
本帖最后由 驭龙 于 2019-8-27 11:00 编辑

黑寡妇杀X4

双击三号样本,黑寡妇除了自定义规则,拦截启动项之外,没有反应
2019.8.27 10:40 Behavior Analysis Access to the protected object is blocked by Behavior Analysis PID: 9928 Process: D:\12345\EXE样本5X_50\Samp(3).exe Object: Program autorun

样本成功在C:\Users\用户名\AppData\Roaming\位置,创建随机文件夹zcrfmszmkp以及文件voxxdaatraftuxd

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 沙发加分!

查看全部评分

FD丶纸鸢
发表于 2019-8-27 10:19:16 | 显示全部楼层
本帖最后由 FD丶纸鸢 于 2019-8-27 10:24 编辑

卡巴杀3个4报RemoteAdmin
是个远程管理软件
5卡巴扫描miss 双击后弹个窗就没了
QVM360
发表于 2019-8-27 10:20:14 | 显示全部楼层
本帖最后由 QVM360 于 2019-8-27 10:39 编辑

360OEM红伞 killed 2x(samp1,samp2)
360无红伞 killed 1x(samp1)
智量Heur杀3x(samp1,samp2,samp3),samp4智量报毒risktool.generic,miss samp5
火绒入库杀samp2,其他全Miss
图太大发不了
改后缀为exe后
360无红伞杀1,3,4
OEM红伞杀1,2,3,4
注意一下Samp(2).vir好像加了zprotect壳

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 辛苦了,吃颗糖。。。

查看全部评分

沈志鸣
发表于 2019-8-27 10:22:44 | 显示全部楼层
卡巴扫描杀4个,Samp(5).vir没有杀
不过看VT上只有3家报:https://www.virustotal.com/gui/f ... d1d9e0a2b/detection
QVM360
发表于 2019-8-27 10:29:06 | 显示全部楼层
本帖最后由 QVM360 于 2019-8-27 10:45 编辑

微步测试结果:
samp1:https://s.threatbook.cn/report/f ... p1_enx64_office2013
samp2:https://s.threatbook.cn/report/f ... p1_enx64_office2013,注意看这个,检测反病毒软件,还加壳,应该是后门
samp3:https://s.threatbook.cn/report/f ... p1_enx64_office2013(微步卡bug,“没有行为”,但根据360报毒名应该是盗号木马)
samp4:https://s.threatbook.cn/report/f ... p1_enx64_office2013(顺便问一下,报毒名有"RemoteAdmin"是什么毒?)
samp5:https://s.threatbook.cn/report/f ... p1_enx64_office2013(几乎没有行为)

kaba666
发表于 2019-8-27 10:31:39 | 显示全部楼层
卡巴杀4个!剩下一个运行闪退!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ELOHIM
发表于 2019-8-27 11:06:11 | 显示全部楼层
wd scan miss 4,5
www-tekeze
 楼主| 发表于 2019-8-27 11:21:12 | 显示全部楼层

安天和无BD管家,都是杀一个Samp(1) 。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
咖啡战士XD
发表于 2019-8-27 11:28:00 | 显示全部楼层
本帖最后由 咖啡战士XD 于 2019-8-27 11:33 编辑

Trend Micro 16 扫描miss all

双击,勒索防护拦截samp(1)
PS:最近双击才发现,趋势安全等级开高后,按信誉拦截未知程序,人工放行后并不会加白,AEGIS会继续监控该程序的行为,样本仍然可以触发主防拦截。如本贴中的samp(1),一开始触发信誉拦截,我手动放行,后续又触发勒索防护被趋势自动终止。这样看的话,趋势这个安全等级开高和avast开加强模式应该差不多(基于信誉拦截,放行后仍受主防监控)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-12 15:51 , Processed in 0.088795 second(s), 19 queries .

快速回复 返回顶部 返回列表