收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 白加黑超级远控木马
1 ...234567891011... 19下一页
返回列表 发新帖
楼主: 租车司机
 收起左侧

[病毒样本] 白加黑超级远控木马

  [复制链接]
BE_HC
发表于 2020-1-26 23:54:57 | 显示全部楼层
本帖最后由 BE_HC 于 2020-1-27 00:02 编辑
www-tekeze 发表于 2020-1-26 23:14
额,还没注意。。。你自己试试。。

链接8.8.8.8应该只是DNS质询或者说是走DNS协议的远控?,我这边是114




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Black_lonely
发表于 2020-1-27 09:30:58 | 显示全部楼层
本帖最后由 Black_lonely 于 2020-1-27 09:33 编辑
www-tekeze 发表于 2020-1-26 22:39
不会添加自启也不会创建计划任务 (否则杀软主防可能会报),但正因如此也没多大危害。。
对照34楼 ...

打包传微步云检测了,没有一个杀软报毒,虚拟机里行为少似乎是因为这东西会检测虚拟机。https://s.threatbook.cn/report/f ... p1_enx64_office2013
回复

举报

abc277399
头像被屏蔽
发表于 2020-1-27 09:36:09 | 显示全部楼层
360压缩比360卫士的云都快灵敏了!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

智量官方
发表于 2020-1-27 10:58:34 | 显示全部楼层
www-tekeze 发表于 2020-1-26 21:45
恢复昨晚虚拟机快照,智量扫描Miss,开启基础实时监控双击。。。会释放两个exe到系统目录和用户目录,还 ...

我们在Win10 X64中测试内存防护可以拦截,不过由于此病毒开了两个进程互相保护,所以在结束进程的时候有点问题,这点我们会改进。
这个病毒内存加载了恶意DLL会被扫描出来。



内存防护并不依赖特征,所以入没入库都能扫描出来。
建议测试的时候只开启智量,感谢测试.

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
Jirehlov1234 + 1 感谢解答: )

查看全部评分

回复

举报

zxh445566
发表于 2020-1-27 11:01:12 | 显示全部楼层
本帖最后由 zxh445566 于 2020-1-27 12:32 编辑

麦咖啡8.8 P7企业版,升级到今天最新病毒库扫描正常,查不出病毒,但有规则保护双击文件打开没问题,正常显示图片,系统正常

但待机几分种后被远程重启了,几乎最大保护了也没防住

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

kaba666
发表于 2020-1-27 11:11:37 | 显示全部楼层
本帖最后由 kaba666 于 2020-1-27 11:15 编辑

嘿嘿!这玩意利用VM来远控,看来不行了!试图读取用户文件也不行了!已经被我完美拦截, 掉打国外杀软你还差点!卡巴高级用户全新自定义设置!完美狙杀你!  10:56:43    已创建进程     C:\Windows\System32\conhost.exe
10:56:44    已创建进程     C:\Windows\SysWOW64\WerFault.exe
10:56:44    创建注册表项    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\{11517B7C-E79D-4e20-961B-75A811715ADD}
10:56:44    设置值       HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\[@]AmiHivePermissionsCorrect
10:56:44    设置值       HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\[@]AmiHiveOwnerCorrect
10:56:44    创建文件      C:\Windows\appcompat\Programs\Amcache.hve.tmp
10:56:44    设置值       HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\[@]AmiOverridePath
10:56:44    创建文件      C:\Windows\appcompat\Programs\Amcache.hve.tmp.LOG1
10:56:44    创建文件      C:\Windows\appcompat\Programs\Amcache.hve.tmp.LOG2
10:56:44    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERED5C.tmp
10:56:44    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERED5C.tmp.dmp
10:56:44    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WEREDDA.tmp
10:56:44    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WEREDDA.tmp.WERInternalMetadata.xml
10:56:44    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WEREDFA.tmp
10:56:44    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WEREDFA.tmp.xml
10:56:44    创建文件夹     C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_价格表.exe_21b0075d7c495be35279128d243d821935ec4_b4bc79c7_4b00ccbb-a097-4d0f-b54d-1075a5b23f7e
10:56:44    创建文件      C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_价格表.exe_21b0075d7c495be35279128d243d821935ec4_b4bc79c7_4b00ccbb-a097-4d0f-b54d-1075a5b23f7e\Report.wer
10:56:44    已结束进程     C:\Windows\SysWOW64\WerFault.exe
10:56:44    已创建进程     C:\Windows\SysWOW64\rundll32.exe
10:56:44    创建文件夹     C:\ProgramData\1372000
10:56:44    创建文件      C:\ProgramData\1372000\sysimgbase.dll
10:56:44    创建文件      C:\ProgramData\1372000\GamePPRender.dat
10:56:44    创建文件      C:\ProgramData\1372000\vixDiskMountApi.dll
10:56:44    创建文件      C:\ProgramData\1372000\AdminService.exe
10:56:45    已创建进程     C:\ProgramData\1372000\AdminService.exe
10:56:45    已结束进程     D:\测试文件\最新价格图\最新价格图\价格表.exe
10:56:45    已创建进程     C:\Windows\System32\conhost.exe
10:56:45    已结束进程     C:\Windows\System32\conhost.exe
10:56:45    创建文件      C:\Users\123\AppData\Local\Temp\~PIF1A2.tmp
10:56:45    创建文件      C:\Users\123\AppData\Local\Temp\~PIF1A3.tmp
10:56:46    已创建进程     C:\Windows\SysWOW64\WerFault.exe
10:56:46    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERF5F7.tmp
10:56:46    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERF5F7.tmp.dmp
10:56:46    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERF675.tmp
10:56:46    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERF675.tmp.WERInternalMetadata.xml
10:56:46    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERF695.tmp
10:56:46    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERF695.tmp.xml
10:56:46    创建文件夹     C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_AdminService.exe_cd21925de68736ee64f86fd1d5d52cd9a87b7f0_3cd8c565_a91b2238-7024-408f-9aa3-62746adb03f3
10:56:46    创建文件      C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_AdminService.exe_cd21925de68736ee64f86fd1d5d52cd9a87b7f0_3cd8c565_a91b2238-7024-408f-9aa3-62746adb03f3\Report.wer
10:56:46    已结束进程     C:\Windows\SysWOW64\WerFault.exe
10:56:46    创建文件      C:\Users\123\AppData\Roaming\LeagueClient.exe
10:56:46    已创建进程     C:\Users\123\AppData\Roaming\LeagueClient.exe
10:56:47    已创建进程     C:\ProgramData\1372000\AdminService.exe
10:56:47    已创建进程     C:\Windows\System32\conhost.exe
10:56:47    已创建进程     C:\Windows\SysWOW64\WerFault.exe
10:56:47    创建注册表项    HKEY_CURRENT_USER\Software\Microsoft\Windows Photo Viewer
10:56:47    创建注册表项    HKEY_CURRENT_USER\Software\Microsoft\Windows Photo Viewer\Viewer
10:56:47    设置值       HKEY_CURRENT_USER\Software\Microsoft\Windows Photo Viewer\Viewer\[@]MainWndPos
10:56:47    已结束进程     C:\Windows\SysWOW64\rundll32.exe
10:56:47    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERFA6C.tmp
10:56:47    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERFA6C.tmp.dmp
10:56:47    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERFAEA.tmp
10:56:47    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERFAEA.tmp.WERInternalMetadata.xml
10:56:47    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERFB1A.tmp
10:56:47    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERFB1A.tmp.xml
10:56:47    创建文件夹     C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_AdminService.exe_cd21925de68736ee64f86fd1d5d52cd9a87b7f0_3cd8c565_094e9248-3f1a-466a-b2de-8818591a7393
10:56:47    创建文件      C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_AdminService.exe_cd21925de68736ee64f86fd1d5d52cd9a87b7f0_3cd8c565_094e9248-3f1a-466a-b2de-8818591a7393\Report.wer
10:56:48    已结束进程     C:\Windows\SysWOW64\WerFault.exe
10:56:49    创建注册表项    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\MediaResources
10:56:49    创建注册表项    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\MediaResources\msvideo
10:56:49    创建文件      C:\Users\123\AppData\Roaming\Config.ini
10:58:33    已结束进程     C:\Users\123\AppData\Roaming\LeagueClient.exe
10:58:56    已结束进程     C:\ProgramData\1372000\AdminService.exe
10:58:56    已结束进程     C:\Windows\System32\conhost.exe
10:58:56    已创建进程     C:\ProgramData\1372000\AdminService.exe
10:58:56    已创建进程     C:\Windows\System32\conhost.exe
10:58:56    已创建进程     C:\Windows\SysWOW64\WerFault.exe
10:58:56    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERF36D.tmp
10:58:56    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERF36D.tmp.dmp
10:58:57    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERF3EB.tmp
10:58:57    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERF3EB.tmp.WERInternalMetadata.xml
10:58:57    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERF40B.tmp
10:58:57    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERF40B.tmp.xml
10:58:57    创建文件夹     C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_AdminService.exe_cd21925de68736ee64f86fd1d5d52cd9a87b7f0_3cd8c565_284d5365-bf92-4ec7-aa77-a3b550acde15
10:58:57    创建文件      C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_AdminService.exe_cd21925de68736ee64f86fd1d5d52cd9a87b7f0_3cd8c565_284d5365-bf92-4ec7-aa77-a3b550acde15\Report.wer
10:58:57    已结束进程     C:\Windows\SysWOW64\WerFault.exe
10:58:57    已创建进程     C:\Users\123\AppData\Roaming\LeagueClient.exe
10:59:18    已结束进程     C:\ProgramData\1372000\AdminService.exe
10:59:18    已创建进程     C:\ProgramData\1372000\AdminService.exe
10:59:18    已创建进程     C:\Windows\System32\conhost.exe
10:59:18    已创建进程     C:\Windows\SysWOW64\WerFault.exe
10:59:19    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WER49EA.tmp
10:59:19    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WER49EA.tmp.dmp
10:59:19    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WER4A58.tmp
10:59:19    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WER4A58.tmp.WERInternalMetadata.xml
10:59:19    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WER4A88.tmp
10:59:19    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WER4A88.tmp.xml
10:59:19    创建文件夹     C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_AdminService.exe_cd21925de68736ee64f86fd1d5d52cd9a87b7f0_3cd8c565_4427bbe6-9964-43f1-93dd-1f02cc7cb6c7
10:59:19    创建文件      C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_AdminService.exe_cd21925de68736ee64f86fd1d5d52cd9a87b7f0_3cd8c565_4427bbe6-9964-43f1-93dd-1f02cc7cb6c7\Report.wer
10:59:19    已结束进程     C:\Windows\SysWOW64\WerFault.exe
10:59:19    已创建进程     C:\Users\123\AppData\Roaming\LeagueClient.exe
11:01:43    已结束进程     C:\Windows\System32\msiexec.exe
11:12:56    已结束进程     C:\ProgramData\1372000\AdminService.exe
11:12:56    已结束进程     C:\Windows\System32\conhost.exe
11:12:56    已创建进程     C:\ProgramData\1372000\AdminService.exe
11:12:56    已创建进程     C:\Windows\System32\conhost.exe
11:12:57    已创建进程     C:\Windows\SysWOW64\WerFault.exe
11:12:57    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERC672.tmp
11:12:57    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERC672.tmp.dmp
11:12:57    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERC73E.tmp
11:12:57    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERC73E.tmp.WERInternalMetadata.xml
11:12:57    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERC78D.tmp
11:12:57    创建文件      C:\ProgramData\Microsoft\Windows\WER\Temp\WERC78D.tmp.xml
11:12:57    创建文件夹     C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_AdminService.exe_cd21925de68736ee64f86fd1d5d52cd9a87b7f0_3cd8c565_2356c918-e3a8-4373-ab62-b6c46faa7c7f
11:12:57    创建文件      C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_AdminService.exe_cd21925de68736ee64f86fd1d5d52cd9a87b7f0_3cd8c565_2356c918-e3a8-4373-ab62-b6c46faa7c7f\Report.wer
11:12:57    已结束进程     C:\Windows\SysWOW64\WerFault.exe
11:12:59    已结束进程     C:\ProgramData\1372000\AdminService.exe
11:12:59    已结束进程     C:\Windows\System32\conhost.exe
11:13:01    已结束进程     C:\ProgramData\1372000\AdminService.exe
11:13:06    已结束进程     C:\Users\123\AppData\Roaming\LeagueClient.exe
11:13:06    已结束进程     C:\Windows\System32\conhost.exe
11:13:09    已结束进程     C:\Users\123\AppData\Roaming\LeagueClient.exe
11:13:09    已结束进程     C:\Windows\System32\conhost.exe


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

lifan88
发表于 2020-1-27 11:20:17 | 显示全部楼层
kaba666 发表于 2020-1-27 11:11
嘿嘿!这玩意利用VM来远控,看来不行了!试图读取用户文件也不行了!已经被我完美拦截, 掉打国外杀软你还 ...

普通用户自定义怕不是要哭哦……
回复

举报

saga3721
发表于 2020-1-27 11:24:23 | 显示全部楼层
本帖最后由 saga3721 于 2020-1-27 11:25 编辑

等有了样本再自定义一堆规则,不但有掩耳盗铃之嫌而且杀个毒把自己也把电脑折腾个半死何必呢
所以说云才是未来!见了奇奇怪怪不像好人的东西先倒云里雾里给你跑一圈,省时省力不打扰
回复

举报

swizzer
发表于 2020-1-27 11:33:06 来自手机 | 显示全部楼层
QVM360 发表于 2020-1-26 20:57
eset miss all
智量杀1个(可执行文件共3x)
已当漏报上传至eset!

白加黑而已,杀exe才傻呢
回复

举报

kaba666
发表于 2020-1-27 11:35:34 | 显示全部楼层
lifan88 发表于 2020-1-27 11:20
普通用户自定义怕不是要哭哦……

卡巴本来就不适合普通用户使用,杀软的规则在自动模式下永远超越不了黑客的速度!病毒是千变万化的,规则是死的!只有人才是活的!手动模式就是靠人来操作,你病毒变我也变,对付未知病毒全手动模式是最好的办法,必须得有懂得计算机基础!
回复

举报

下一页 »
1 ...234567891011... 19下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-18 11:58 , Processed in 0.098898 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表