伪装成自制计算器的下载者病毒

hklwk

McAfee Miss

swizzer

hklwk 发表于 2020-2-9 19:34
McAfee Miss

我这RP杀了，一个是payload，一个是计算器本体

1. 分析器/检测程序
   
2. 产品名称        McAfee Endpoint Security
   
3. 产品版本        10.7.0.1531
   
4. 功能名称        Real Protect Cloud
   
5. 
   
6. 威胁
   
7. 执行的操作        将清理
   
8. 威胁类别        检测到恶意软件
   
9. 威胁在创建时被检测到        否
   
10. 威胁事件 ID        35106
    
11. 威胁已被处理        是
    
12. 威胁名称        Real Protect-SS!2A6734D4D4BA
    
13. 威胁严重性        严重
    
14. 威胁时间戳        2020年2月9日 下午6:46
    
15. 威胁类型        特洛伊木马程序

复制代码

1. 分析器/检测程序
   
2. 产品名称        McAfee Endpoint Security
   
3. 产品版本        10.7.0.1531
   
4. 功能名称        Real Protect Cloud
   
5. 
   
6. 威胁
   
7. 执行的操作        将清理
   
8. 威胁类别        检测到恶意软件
   
9. 威胁在创建时被检测到        否
   
10. 威胁事件 ID        35106
    
11. 威胁已被处理        是
    
12. 威胁名称        Real Protect-EC!EADE697E597B
    
13. 威胁严重性        严重
    
14. 威胁时间戳        2020年2月9日 下午6:40
    
15. 威胁类型        特洛伊木马程序
    

复制代码

hklwk

swizzer 发表于 2020-2-9 19:42
我这RP杀了，一个是payload，一个是计算器本体

尝试手动下载hxxp://soapstampingmachines.com/b/wp.exe
发现路由器的趋势科技拦截了恶意网址, 可能是这个原因, Downloader都没反应


[更新] 连上手机网络试了一下, McAfee双击杀了
计算器.exe        Real Protect-EC!EADE697E597B
qDvAc.exe        GenericRXGK-YC!2A6734D4D4BA

心醉咖啡

火绒扫描miss

www-tekeze

安天和无BD管家，Both Scan Miss，双击，两家都报衍生物为毒！

www-tekeze

恢复昨晚虚拟机快照，绒智扫描均Miss，开启两家监控双击，首先会释放个衍生物到用户临时目录，还会联网，全部放行被智量主防杀！但本体留下。。。退出智量双击，火绒主防没反应。。

Miostartos

eset拦截了网址

ZNKZZ.

火绒 miss
火绒纯扫描 wp.exe 仍miss

FD丶纸鸢

swizzer 发表于 2020-2-9 19:42
我这RP杀了，一个是payload，一个是计算器本体

咖啡拉黑了
月神kill

anniya

有点意思，分析一下