123
返回列表 发新帖
楼主: www-tekeze
收起左侧

[病毒样本] EXE样本20X_2

[复制链接]
FD丶纸鸢
发表于 2019-12-31 20:31:54 | 显示全部楼层
Emsisoft kill18x
C:\Users\Administrator\Desktop\EXE样本20X_2\Samp(11).vir         发现风险: Gen:Variant.Razy.560738 (B) [krnl.xmd]
C:\Users\Administrator\Desktop\EXE样本20X_2\Samp(1).vir         发现风险: Trojan.Agent.DNSR (B) [krnl.xmd]
C:\Users\Administrator\Desktop\EXE样本20X_2\Samp(13).vir         发现风险: Gen:Variant.Razy.560738 (B) [krnl.xmd]
C:\Users\Administrator\Desktop\EXE样本20X_2\Samp(14).vir         发现风险: Gen:Variant.Razy.560738 (B) [krnl.xmd]
C:\Users\Administrator\Desktop\EXE样本20X_2\Samp(16).vir         发现风险: Gen:Variant.Razy.560738 (B) [krnl.xmd]
C:\Users\Administrator\Desktop\EXE样本20X_2\Samp(15).vir         发现风险: Gen:Variant.Razy.560738 (B) [krnl.xmd]
C:\Users\Administrator\Desktop\EXE样本20X_2\Samp(18).vir         发现风险: Gen:Variant.Razy.560738 (B) [krnl.xmd]
C:\Users\Administrator\Desktop\EXE样本20X_2\Samp(19).vir         发现风险: Gen:Variant.Razy.560738 (B) [krnl.xmd]
C:\Users\Administrator\Desktop\EXE样本20X_2\Samp(2).vir         发现风险: Gen:Variant.Razy.560738 (B) [krnl.xmd]
C:\Users\Administrator\Desktop\EXE样本20X_2\Samp(17).vir         发现风险: Gen:Variant.Razy.560738 (B) [krnl.xmd]
C:\Users\Administrator\Desktop\EXE样本20X_2\Samp(12).vir         发现风险: Trojan.GenericKD.42075742 (B) [krnl.xmd]
C:\Users\Administrator\Desktop\EXE样本20X_2\Samp(3).vir         发现风险: Gen:Variant.Razy.560738 (B) [krnl.xmd]
C:\Users\Administrator\Desktop\EXE样本20X_2\Samp(5).vir         发现风险: Gen:Variant.Razy.560738 (B) [krnl.xmd]
C:\Users\Administrator\Desktop\EXE样本20X_2\Samp(6).vir         发现风险: Gen:Variant.Razy.560738 (B) [krnl.xmd]
C:\Users\Administrator\Desktop\EXE样本20X_2\Samp(7).vir         发现风险: Gen:Variant.Razy.560738 (B) [krnl.xmd]
C:\Users\Administrator\Desktop\EXE样本20X_2\Samp(8).vir         发现风险: Gen:Variant.Razy.560738 (B) [krnl.xmd]
C:\Users\Administrator\Desktop\EXE样本20X_2\Samp(4).vir         发现风险: Gen:Variant.Razy.594394 (B) [krnl.xmd]
C:\Users\Administrator\Desktop\EXE样本20X_2\Samp(20).vir         发现风险: Gen:Heur.MSIL.Bladabindi.1 (B) [krnl.xmd]


剩下两个是9和10
双击9 弹出一个命令提示符 接着在Fonts文件夹下生成了SVNClient.exe 等半分钟左右没什么反应 估计不干好事 坐等反应的时候双击10
10也是一样一个命令提示符窗口 不过持续时间比9长 这时候我进cmd用copy提取出了SVNClient.exe 看图标一股国产PUP即视感......
9双击了总共三分钟没反应 任务管理器干掉
准备分析SVNclient.exe
FD丶纸鸢
发表于 2019-12-31 20:32:28 | 显示全部楼层
本帖最后由 FD丶纸鸢 于 2019-12-31 22:37 编辑

回来了hh
首先exeinfope探查初步发现没有加壳


继续使用File Analysis分析

  1. 22:36:35[1]:(允许)程序启动:File_Analysis 行为记录成功开启   规则版本:2.9.0.0

  2. 22:36:35[2]:(允许)映射动态链接库:KERNEL32.DLL

  3. 22:36:35[3]:(允许)加载库文件:KERNEL32.DLL     函数名:FlsAlloc

  4. 22:36:35[4]:(允许)加载库文件:KERNEL32.DLL     函数名:FlsGetValue

  5. 22:36:35[5]:(允许)加载库文件:KERNEL32.DLL     函数名:FlsSetValue

  6. 22:36:35[6]:(允许)加载库文件:KERNEL32.DLL     函数名:FlsFree

  7. 22:36:35[7]:(允许)映射动态链接库:KERNEL32.DLL

  8. 22:36:35[8]:(允许)字符串3:kernel32.dll

  9. 22:36:35[9]:(允许)字符串3:E:\病毒木马分析区\File Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files\Bandizip\

  10. 22:36:35[10]:(允许)字符串3:C:\Windows\Globalization\Sorting\sortdefault.nls

  11. 22:36:35[11]:(允许)内联文件路径:C:\Windows\Globalization\Sorting\sortdefault.nls

  12. 22:36:35[12]:(允许)读取文件:E:\病毒木马分析区\File Analysis\File_safe\SVNclient.exe

  13. 22:36:35[13]:(允许)字符串3:E:\病毒木马分析区\File Analysis\File_safe\SVNclient.exe

  14. 22:36:35[14]:(允许)内联文件路径:E:\病毒木马分析区\File Analysis\File_safe\SVNclient.exe

  15. 22:36:35[15]:(允许)字符串3:C:\Users\Administrator\AppData\Local\Temp

  16. 22:36:35[16]:(允许)获取文件属性:C:\Users\Administrator\AppData\Local\Temp

  17. 22:36:35[17]:(允许)获取文件属性:C:\Users\Administrator\AppData\Local\Temp\_MEI45642

  18. 22:36:35[18]:(允许)字符串3:C:\Users\Administrator\AppData\Local\Temp\_MEI45642

  19. 22:36:35[19]:(允许)创建文件目录:C:\Users\Administrator\AppData\Local\Temp\_MEI45642

  20. 22:36:35[20]:(允许)字符串3:Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions

  21. 22:36:35[21]:(允许)字符串3:ole32.dll

  22. 22:36:35[22]:(允许)字符串3:E:\病毒木马分析区\File Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files\Bandizip\

  23. 22:36:35[23]:(允许)字符串3:Category

  24. 22:36:35[24]:(允许)字符串3:Name

  25. 22:36:35[25]:(允许)字符串3:ParentFolder

  26. 22:36:35[26]:(允许)字符串3:Description

  27. 22:36:35[27]:(允许)字符串3:RelativePath

  28. 22:36:35[28]:(允许)字符串3:ParsingName

  29. 22:36:35[29]:(允许)字符串3:InfoTip

  30. 22:36:35[30]:(允许)字符串3:LocalizedName

  31. 22:36:35[31]:(允许)字符串3:Icon

  32. 22:36:35[32]:(允许)字符串3:Security

  33. 22:36:35[33]:(允许)字符串3:StreamResource

  34. 22:36:35[34]:(允许)字符串3:StreamResourceType

  35. 22:36:35[35]:(允许)字符串3:LocalRedirectOnly

  36. 22:36:35[36]:(允许)字符串3:Roamable

  37. 22:36:35[37]:(允许)字符串3:PreCreate

  38. 22:36:35[38]:(允许)字符串3:Stream

  39. 22:36:35[39]:(允许)字符串3:PublishExpandedPath

  40. 22:36:36[40]:(允许)字符串3:Attributes

  41. 22:36:36[41]:(允许)字符串3:FolderTypeID

  42. 22:36:36[42]:(允许)字符串3:InitFolderHandler

  43. 22:36:36[43]:(允许)字符串3:PropertyBag

  44. 22:36:36[44]:(允许)映射动态链接库:ntdll.dll

  45. 22:36:36[45]:(允许)加载库文件:ntdll.dll     函数名:NtOpenProcess

  46. 22:36:36[46]:(允许)载入动态链接库:ADVAPI32.dll

  47. 22:36:36[47]:(允许)字符串3:ADVAPI32.dll

  48. 22:36:36[48]:(允许)字符串3:E:\病毒木马分析区\File Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files\Bandizip\

  49. 22:36:36[49]:(允许)加载库文件:ADVAPI32.dll     函数名:OpenThreadToken

  50. 22:36:36[50]:(允许)映射动态链接库:ntdll.dll

  51. 22:36:36[51]:(允许)加载库文件:ntdll.dll     函数名:NtOpenKey

  52. 22:36:36[52]:(允许)字符串3:Software\Microsoft\Windows\CurrentVersion\Explorer

  53. 22:36:36[53]:(允许)字符串3:SessionInfo\1

  54. 22:36:36[54]:(允许)字符串3:KnownFolders

  55. 22:36:36[55]:(允许)字符串3:Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

  56. 22:36:36[56]:(允许)字符串3:AppData

  57. 22:36:36[57]:(允许)字符串2:%USERPROFILE%

  58. 22:36:36[58]:(允许)字符串2:%ProgramData%

  59. 22:36:36[59]:(允许)字符串2:%PUBLIC%

  60. 22:36:36[60]:(允许)字符串2:%ALLUSERSPROFILE%

  61. 22:36:36[61]:(允许)字符串2:%SYSTEMROOT%

  62. 22:36:36[62]:(允许)字符串2:%SYSTEMDRIVE%

  63. 22:36:36[63]:(允许)获取文件属性:C:\Users\Administrator\AppData\Roaming

  64. 22:36:36[64]:(允许)字符串3:Software\Microsoft\Windows\CurrentVersion\Explorer\KnownFolderSettings

  65. 22:36:36[65]:(允许)字符串2:C:\Users\Administrator\AppData\Roaming

  66. 22:36:36[66]:(允许)获取文件属性:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\python27.dll

  67. 22:36:36[67]:(允许)字符串3:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\python27.dll

  68. 22:36:36[68]:(安全环境)查找文件:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\python27.dll

  69. 22:36:36[69]:(允许)字符串3:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\python27.dll

  70. 22:36:36[70]:(安全环境)写入文件:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\python27.dll

  71. 22:36:36[71]:(允许)字符串3:E:\病毒木马分析区\File Analysis\File_safe\python27.dll

  72. 22:36:36[72]:(允许)内联文件路径:E:\病毒木马分析区\File Analysis\File_safe\python27.dll

  73. 22:36:36[73]:(允许)字符串3:C:\Users\Administrator\AppData\Local\Temp

  74. 22:36:36[74]:(允许)字符串2:C:\Users\Administrator\AppData\Roaming

  75. 22:36:36[75]:(允许)获取文件属性:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\_hashlib.pyd

  76. 22:36:36[76]:(允许)字符串3:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\_hashlib.pyd

  77. 22:36:36[77]:(安全环境)查找文件:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\_hashlib.pyd

  78. 22:36:36[78]:(允许)字符串3:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\_hashlib.pyd

  79. 22:36:36[79]:(安全环境)写入文件:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\_hashlib.pyd

  80. 22:36:36[80]:(允许)字符串3:E:\病毒木马分析区\File Analysis\File_safe\_hashlib.pyd

  81. 22:36:36[81]:(允许)内联文件路径:E:\病毒木马分析区\File Analysis\File_safe\_hashlib.pyd

  82. 22:36:36[82]:(允许)字符串3:C:\Users\Administrator\AppData\Local\Temp

  83. 22:36:36[83]:(允许)字符串2:C:\Users\Administrator\AppData\Roaming

  84. 22:36:36[84]:(允许)获取文件属性:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\_ctypes.pyd

  85. 22:36:36[85]:(允许)字符串3:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\_ctypes.pyd

  86. 22:36:36[86]:(安全环境)查找文件:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\_ctypes.pyd

  87. 22:36:36[87]:(允许)字符串3:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\_ctypes.pyd

  88. 22:36:36[88]:(安全环境)写入文件:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\_ctypes.pyd

  89. 22:36:36[89]:(允许)字符串3:E:\病毒木马分析区\File Analysis\File_safe\_ctypes.pyd

  90. 22:36:36[90]:(允许)内联文件路径:E:\病毒木马分析区\File Analysis\File_safe\_ctypes.pyd

  91. 22:36:36[91]:(允许)字符串3:C:\Users\Administrator\AppData\Local\Temp

  92. 22:36:36[92]:(允许)字符串2:C:\Users\Administrator\AppData\Roaming

  93. 22:36:36[93]:(允许)获取文件属性:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\select.pyd

  94. 22:36:36[94]:(允许)字符串3:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\select.pyd

  95. 22:36:36[95]:(安全环境)查找文件:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\select.pyd

  96. 22:36:36[96]:(允许)字符串3:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\select.pyd

  97. 22:36:36[97]:(安全环境)写入文件:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\select.pyd

  98. 22:36:36[98]:(允许)字符串3:E:\病毒木马分析区\File Analysis\File_safe\select.pyd

  99. 22:36:36[99]:(允许)内联文件路径:E:\病毒木马分析区\File Analysis\File_safe\select.pyd

  100. 22:36:36[100]:(允许)字符串3:C:\Users\Administrator\AppData\Local\Temp

  101. 22:36:36[101]:(允许)字符串2:C:\Users\Administrator\AppData\Roaming

  102. 22:36:36[102]:(允许)获取文件属性:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\unicodedata.pyd

  103. 22:36:36[103]:(允许)字符串3:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\unicodedata.pyd

  104. 22:36:36[104]:(安全环境)查找文件:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\unicodedata.pyd

  105. 22:36:36[105]:(允许)字符串3:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\unicodedata.pyd

  106. 22:36:36[106]:(安全环境)写入文件:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\unicodedata.pyd

  107. 22:36:36[107]:(允许)字符串3:E:\病毒木马分析区\File Analysis\File_safe\unicodedata.pyd

  108. 22:36:36[108]:(允许)内联文件路径:E:\病毒木马分析区\File Analysis\File_safe\unicodedata.pyd

  109. 22:36:36[109]:(允许)字符串3:C:\Users\Administrator\AppData\Local\Temp

  110. 22:36:36[110]:(允许)字符串2:C:\Users\Administrator\AppData\Roaming

  111. 22:36:36[111]:(允许)获取文件属性:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\bz2.pyd

  112. 22:36:36[112]:(允许)字符串3:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\bz2.pyd

  113. 22:36:36[113]:(安全环境)查找文件:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\bz2.pyd

  114. 22:36:36[114]:(允许)字符串3:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\bz2.pyd

  115. 22:36:36[115]:(安全环境)写入文件:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\bz2.pyd

  116. 22:36:36[116]:(允许)字符串3:E:\病毒木马分析区\File Analysis\File_safe\bz2.pyd

  117. 22:36:36[117]:(允许)内联文件路径:E:\病毒木马分析区\File Analysis\File_safe\bz2.pyd

  118. 22:36:36[118]:(允许)字符串3:C:\Users\Administrator\AppData\Local\Temp

  119. 22:36:36[119]:(允许)字符串2:C:\Users\Administrator\AppData\Roaming

  120. 22:36:36[120]:(允许)获取文件属性:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\ttt.exe.manifest

  121. 22:36:36[121]:(允许)字符串3:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\ttt.exe.manifest

  122. 22:36:36[122]:(安全环境)查找文件:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\ttt.exe.manifest

  123. 22:36:36[123]:(允许)字符串3:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\ttt.exe.manifest

  124. 22:36:36[124]:(安全环境)写入文件:C:/Users/Administrator/AppData/Local/Temp/_MEI45642\ttt.exe.manifest

  125. 22:36:36[125]:(允许)字符串3:E:\病毒木马分析区\File Analysis\File_safe\ttt.exe.manifest

  126. 22:36:36[126]:(允许)内联文件路径:E:\病毒木马分析区\File Analysis\File_safe\ttt.exe.manifest

  127. 22:36:36[127]:(安全环境)创建进程:E:\病毒木马分析区\File Analysis\File_safe\SVNclient.exe     命令行:E:\病毒木马分析区\File Analysis\File_safe\SVNclient.exe

  128. 22:36:36[128]:(阻止)打开注册表键 KeyHandle:2417028     DesiredAccess:257     ObjectAttributes:2416984

  129. 22:36:36[129]:(允许)查找文件:E:\病毒木马分析区\File Analysis\File_safe\*.*

  130. 22:36:36[130]:(允许)映射动态链接库:kernel32.dll

  131. 22:36:41[131]:(允许)查找文件:C:/Users/Administrator/AppData/Local/Temp/_MEI45642/*

  132. 22:36:41[132]:(允许)字符串3:*

  133. 22:36:41[133]:(允许)字符串3:C:\Windows\system32\tzres.dll

  134. 22:36:41[134]:(允许)字符串3:E:\病毒木马分析区\File Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files\Bandizip\

  135. 22:36:41[135]:(允许)字符串3:C:\Windows\system32\tzres.dll

  136. 22:36:41[136]:(允许)内联文件路径:C:\Windows\system32\tzres.dll

  137. 22:36:41[137]:(允许)字符串3:C:\Windows\system32\tzres.dll

  138. 22:36:41[138]:(允许)字符串3:E:\病毒木马分析区\File Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files\Bandizip\

  139. 22:36:41[139]:(允许)字符串3:C:\Windows\system32\tzres.dll

  140. 22:36:41[140]:(允许)内联文件路径:C:\Windows\system32\tzres.dll

  141. 22:36:41[141]:(允许)字符串3:C:\Users\Administrator\AppData\Local\Temp

  142. 22:36:41[142]:(允许)字符串2:C:\Users\Administrator\AppData\Roaming

  143. 22:36:41[143]:(阻止)删除文件目录:C:/Users/Administrator/AppData/Local/Temp/_MEI45642/

  144. 22:36:41[144]:(允许)映射动态链接库:mscoree.dll

  145. 22:36:41[145]:(允许)字符串3:E:\病毒木马分析区\File Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files\Bandizip\

  146. 22:36:41[146]:(允许)获取进程快照:SVNclient.exe     进程PID:4564

  147. 22:36:41[147]:(允许)程序退出:File_Analysis 行为记录到此为止
复制代码


renjiaqi
发表于 2019-12-31 20:41:54 | 显示全部楼层
景云 关闭红伞引擎 MISS ALL 开启红伞引擎 KILL 1 4 9 12 20

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 感谢支持,欢迎常来: )

查看全部评分

www-tekeze
 楼主| 发表于 2020-1-1 21:28:31 | 显示全部楼层

发帖时:安天报20项实杀19X,无BD管家也杀19X 。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 23:14 , Processed in 0.103458 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表