加壳EXE样本20X

www-tekeze

allentong 发表于 2020-1-5 22:27
卡巴惨不忍睹被加密了且高级清除失败，eset a6/10 u10/10 t16/20。BD扫描+双击19/20，剩一个运行报错的

现在的老司机云化很严重，对加壳的本来就不咋的，蛋定。。

WeeVee

卡巴KSC
A: 7/10，U: 10/10，T：17/20

U扫描剩1个，双击杀了

1. 05.01.2020 23.15.00;已回滚 恶意软件 的操作;PDM:Trojan.Win32.Generic;ScriptEditor DLL;c:\users\administrator\desktop\upx\samp(4)u.vir.exe;01/05/2020 23:15:00
   
2. 05.01.2020 23.15.00;回滚 恶意软件 的操作时文件被删除;c:\programdata\фвяывукош.exe;ScriptEditor DLL;c:\users\administrator\desktop\upx\samp(4)u.vir.exe;01/05/2020 23:15:00
   
3. 05.01.2020 23.14.53;已移除 恶意软件;PDM:Trojan.Win32.Generic;ScriptEditor DLL;c:\users\administrator\desktop\upx\samp(4)u.vir.exe;01/05/2020 23:14:53
   
4. 05.01.2020 23.14.49;已终止 恶意软件;PDM:Trojan.Win32.Generic;ScriptEditor DLL;C:\Users\Administrator\Desktop\UPX\Samp(4)U.vir.exe;01/05/2020 23:14:49
   
5. 05.01.2020 23.14.49;检测到 恶意软件;PDM:Trojan.Win32.Generic;ScriptEditor DLL;c:\users\administrator\desktop\upx\samp(4)u.vir.exe;01/05/2020 23:14:49

复制代码

A剩下3个无法运行

Agu

Malwarebytes -
A：10/10
U：9/10
T：19/20



意外的成績很不錯！

F-Secure -
A：8/10 -> 剩餘2個DeepGuard皆攔截
U：8/10
T：18/20

1. Results
   
2. Items scanned: 10
   
3. Harmful items found: 8
   
4. Details
   
5. TR/AD.MoksSteal.e087d3
   
6. D:\VMware\Malware Test\ASPack\Samp(3)A.vir: Cleaned up
   
7. TR/ClipBanker.f3889d
   
8. D:\VMware\Malware Test\ASPack\Samp(4)A.vir: Cleaned up
   
9. TR/AD.Coroxy.04dc3b
   
10. D:\VMware\Malware Test\ASPack\Samp(5)A.vir: Cleaned up
    
11. TR/AD.Kronos.37ba77
    
12. D:\VMware\Malware Test\ASPack\Samp(6)A.vir: Cleaned up
    
13. Trojan.TR/Crypt.ASPM.Gen
    
14. D:\VMware\Malware Test\ASPack\Samp(7)A.vir: Cleaned up
    
15. Trojan.TR/Crypt.XPACK.Gen
    
16. D:\VMware\Malware Test\ASPack\Samp(8)A.vir: Cleaned up
    
17. TR/AD.MoksSteal.cd0521
    
18. D:\VMware\Malware Test\ASPack\Samp(9)A.vir: Cleaned up
    
19. Trojan.TR/Crypt.ASPM.Gen
    
20. D:\VMware\Malware Test\ASPack\Samp(1)A.vir: Cleaned up
    
21. Version information
    
22. Scanning engines:
    
23. 
    
24. [code]F-Secure Capricorn: 18.0.595, 2020-01-05
    
25. F-Secure Hydra: 6.0.95, 2020-01-02
    
26. F-Secure Lynx: 2.3.151
    
27. F-Secure Online: 17.5.1341
    
28. F-Secure USS: 6.0.23, 2019-09-03
    
29. F-Secure Virgo Detection: 17.5.1341

复制代码

1. Results
   
2. Items scanned: 14
   
3. Harmful items found: 9
   
4. Details
   
5. Trojan.TR/Dropper.Gen7
   
6. D:\VMware\Malware Test\UPX\Samp(5)U.vir\[2] Client.exe: Skipped
   
7. Trojan.TR/Agent.ecrlo
   
8. D:\VMware\Malware Test\UPX\Samp(5)U.vir\[4] dis.exe: Skipped
   
9. Trojan.TR/Crypt.XPACK.Gen
   
10. D:\VMware\Malware Test\UPX\Samp(6)U.vir: Cleaned up
    
11. TR/Predator.552151
    
12. D:\VMware\Malware Test\UPX\Samp(7)U.vir: Cleaned up
    
13. TR/AD.RansomHeur.efcf33
    
14. D:\VMware\Malware Test\UPX\Samp(8)U.vir: Cleaned up
    
15. Trojan.TR/Autoit.nembb
    
16. D:\VMware\Malware Test\UPX\Samp(10)U.vir: Cleaned up
    
17. TR/Autoit.8294fa
    
18. D:\VMware\Malware Test\UPX\Samp(1)U.vir: Cleaned up
    
19. TR/Kryptik.19b115
    
20. D:\VMware\Malware Test\UPX\Samp(2)U.vir: Cleaned up
    
21. Trojan.TR/Crypt.ULPM.Gen2
    
22. D:\VMware\Malware Test\UPX\Samp(3)U.vir: Cleaned up
    
23. Version information
    
24. Scanning engines:
    
25. 
    
26. F-Secure Capricorn: 18.0.595, 2020-01-05
    
27. F-Secure Hydra: 6.0.95, 2020-01-02
    
28. F-Secure Lynx: 2.3.151
    
29. F-Secure Online: 17.5.1341
    
30. F-Secure USS: 6.0.23, 2019-09-03
    
31. F-Secure Virgo Detection: 17.5.1341

复制代码

YU2711

Trend  Micro
A: 0/10，U: 2/10，T：2/20

1. 2020/1/5 23:12,BKDR_BLADABI.SMC,安全威脅,C:\Users\UseR\Downloads\加壳EXE样本20X\UPX\Samp(5)U.vir\$INSTDIR\Client.exe,已移除,即時掃瞄
   
2. 2020/1/5 23:12,Ransom.Win32.SODINOKIB.SMTH,安全威脅,C:\Users\UseR\Downloads\加壳EXE样本20X\UPX\Samp(6)U.vir,已移除,即時掃瞄

复制代码

双击 A

1. 2020/1/5 23:23,C:\Users\UseR\Downloads\加壳EXE样本20X\ASPack\Samp(1)A.exe,未知,,,C:\Users\UseR\AppData\Roaming\Microsoft\home\scvhost.exe,已終止
   
2. 2020/1/5 23:25,C:\Users\UseR\Downloads\加壳EXE样本20X\ASPack\Samp(4)A.exe,未知,,,C:\Users\UseR\Pacif3\PROTOR.vbs,已清除
   
3. 2020/1/5 23:27,C:\Users\UseR\Downloads\加壳EXE样本20X\ASPack\Samp(5)A.exe,未知,,,C:\Windows\Tasks\gbpaku.job,已清除

复制代码

U

1. 2020/1/5 23:41,C:\Users\UseR\Downloads\加壳EXE样本20X\UPX\Samp(8)U.exe,未知,1.0.0.0,,C:\Users\UseR\Downloads\加壳EXE样本20X\UPX\Samp(8)U.exe,已終止
   
2. 2020/1/5 23:40,C:\Users\UseR\Downloads\加壳EXE样本20X\UPX\Samp(4)U.exe,未知,1, 0, 0, 1,Copyright (C) 2003,C:\ProgramData\ФВяывУКоШ.exe,已終止
   
3. 2020/1/5 23:45,C:\Users\UseR\Downloads\加壳EXE样本20X\UPX\Samp(9)U.exe,未知,1, 0, 0, 1,Copyright (C) 2003,C:\ProgramData\ЧфвыУЫцП.exe,已終止

复制代码

www-tekeze

WeeVee 发表于 2020-1-5 23:23
卡巴KSC
A: 7/10，U: 10/10，T：17/20

我以前发过129期样本集，其中超过一半是加这两种壳混淆的，如果半小时内回复，司机扫描查杀率大概就60% 。
现在距发帖3个小时了。。

PS：现在下载量已有37次 (其中一次是我下载的，样验下上传的是否有问题)，也不知有多少人扫过了。

www-tekeze

SEP，大概发帖后一个半小时，A和U都是杀8X，T: 16/20，80%，双击没试。

PS：根据以往经验，一个半小时对铁壳/诺顿影响不大，也就是说发帖时也基本能达到这个水平。

WeeVee

www-tekeze 发表于 2020-1-5 23:54
我以前发过129期样本集，其中超过一半是加这两种壳混淆的，如果半小时内回复，司机扫描查杀率大概就60%  ...

我来迟了，空闲的时候来看一下，才看到

无语~

最近把spyshelter的执行防护的数字签名自动放行关了，所以杀毒全部设置成手动更新，病毒库全是8小时前的，解压后智量先杀，A剩1个，U剩5个；然后A2补杀，A还是剩1个，U剩1个。PS：懒得双击了

风之暇想

两个假壳基本不用它

anthonyqian

ESET 目前
A: 8/10
U: 10/10
T：18/20