搜索
楼主: www-tekeze
收起左侧

[病毒样本] 勒索一枚

[复制链接]
记录微笑
发表于 2020-1-8 00:35:45 | 显示全部楼层
www-tekeze 发表于 2020-1-7 23:50
安天和无BD管家,Both Scan Miss 。
双击,被安天拦截添加自启,放行后确实没看到勒索动作,还得重启? ...

好吧,重启后测试连进程都没了,自启动项无效
vm001
发表于 2020-1-8 08:17:31 | 显示全部楼层
本帖最后由 vm001 于 2020-1-8 08:25 编辑
记录微笑 发表于 2020-1-8 00:35
好吧,重启后测试连进程都没了,自启动项无效

不是自启项无效,是楼主改过文件名,看文件描述,和启动项名称,源文件名应该是svchast.exe
还有软件自身的原因,注册表也没写入成功。

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 赞一个!

查看全部评分

莒县小哥
发表于 2020-1-8 08:33:39 | 显示全部楼层
WD
Trojan:Win32/Wacatac.B!ml
sichuanwenxuan
发表于 2020-1-8 10:18:06 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
傲普斯顿
发表于 2020-1-8 10:27:54 | 显示全部楼层
WCMS 发表于 2020-1-7 22:55
卡巴斯基扫描无反应,加入低限制组(自定义)双击无反应

在今天  Kaspersky 仍然Miss


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
傲普斯顿
发表于 2020-1-8 11:50:27 | 显示全部楼层
WD


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
xtrdfesai
发表于 2020-1-10 11:38:16 | 显示全部楼层
感谢分享,刚好测试杀毒软件用到。
柯林
发表于 2020-1-10 13:10:49 | 显示全部楼层
www-tekeze 发表于 2020-1-7 23:50
安天和无BD管家,Both Scan Miss 。
双击,被安天拦截添加自启,放行后确实没看到勒索动作,还得重启? ...

又是联网干活的?这种思路的,防火墙拦一下不就废了,加了自启也没用,网不通就瞎,是不是这意思?
www-tekeze
 楼主| 发表于 2020-1-10 13:22:18 | 显示全部楼层
柯林 发表于 2020-1-10 13:10
又是联网干活的?这种思路的,防火墙拦一下不就废了,加了自启也没用,网不通就瞎,是不是这意思?

都把这个样本忘了,没在绒智环境下试过。。。这个样本体量够大,应该自带加密程序了,不需要从网上下,联网是为了上传加密后的私钥给作者吧?真阻止了联网作者都没法替你解密 (先不谈money问题) 。。



www-tekeze
 楼主| 发表于 2020-1-10 13:47:41 | 显示全部楼层
本帖最后由 www-tekeze 于 2020-1-10 14:01 编辑
柯林 发表于 2020-1-10 13:10
又是联网干活的?这种思路的,防火墙拦一下不就废了,加了自启也没用,网不通就瞎,是不是这意思?

原文件名确实是svchast,那就恢复试。因为火绒已做通杀,so,关闭绒智监控双击,首先被智量主防报DiskWriter !

退出智量双击,会添加自启、联网,但没任何流量 (估计不需要临时下载加密程序,也有可能被qiang?),等了一阵看不到加密动作。。。重启,被加了自启服务项,火绒默认允许,但还是没见加密,程序自身bug 。。

大佬看我双击是不是有点辛苦? 有糖吃没。。

刚注意,5楼10实机里智量主防报一般木马,现在7虚拟机里报DiskWriter,看来这样本行为跟环境关系很大!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2020-1-26 05:19 , Processed in 0.095179 second(s), 15 queries .

快速回复 返回顶部 返回列表