样本8X

显示全部楼层 · 发表于 2020-2-15 16:04:27

没改后缀请小心享用。。

载点：https://www.lanzous.com/i9dhtfi 密码：infected

显示全部楼层 · 发表于 2020-2-15 16:13:16

本帖最后由 Nocria 于 2020-2-15 16:32 编辑

IKARUS - 5/8

[15.02.2020 16:31:44] On-demand scan started: "user_defined"
[15.02.2020 16:31:44] Found, 0.00s, SigName: "Trojan-Downloader.PowerShell.Agent", SigId: 292059982, Type: "VIRUS", File: "C:\Users\promi\Desktop\样本8X\#8 (1).zip"
[15.02.2020 16:31:44] Found, 0.47s, SigName: "Trojan.PowerShell.Rozena", SigId: 3230589, Type: "VIRUS", File: "C:\Users\promi\Desktop\样本8X\#8 (5).txt"
[15.02.2020 16:31:44] Found, 0.32s, SigName: "Backdoor.Script.Bladabindi", SigId: 3275071, Type: "VIRUS", File: "C:\Users\promi\Desktop\样本8X\#8 (6).txt"
[15.02.2020 16:31:44] Found, 0.32s, SigName: "Trojan.Script", SigId: 3282242, Type: "VIRUS", File: "C:\Users\promi\Desktop\样本8X\#8 (7).txt"
[15.02.2020 16:31:44] Found, 0.32s, SigName: "Backdoor.Script.Bladabindi", SigId: 3275071, Type: "VIRUS", File: "C:\Users\promi\Desktop\样本8X\#8 (8).txt"
[15.02.2020 16:31:44] On-demand scan FINISHED: "user_defined"
[15.02.2020 16:31:44] ----------------------------------------------------
[15.02.2020 16:31:44] Directories scanned: 1
[15.02.2020 16:31:44] Files scanned: 8
[15.02.2020 16:31:44] Virus found: 5

复制代码

显示全部楼层 · 发表于 2020-2-15 16:16:44

本帖最后由 BFAX 于 2020-2-15 16:25 编辑

卡巴杀7/
1脚本未扫出but双击拦截

显示全部楼层 · 发表于 2020-2-15 16:25:20

显示全部楼层 · 发表于 2020-2-15 16:26:50

BFAX 发表于 2020-2-15 16:16
卡巴杀7/
1脚本未扫出but双击拦截

映像文件就三家报 (一个还是司机的小弟)，到底是不是毒？？还是放上来得了。。

显示全部楼层 · 发表于 2020-2-15 16:33:16

www-tekeze 发表于 2020-2-15 16:26
映像文件就三家报 (一个还是司机的小弟)，到底是不是毒？？还是放上来得了。。

我觉得这肯定不是iso，非常像混淆过的脚本

显示全部楼层 · 发表于 2020-2-15 16:33:25

e家3x
正在扫描日志
检测引擎的版本: 20843 (20200214)
日期: 2020/2/15 时间: 16:32:46
已扫描的磁盘、文件夹和文件: C:\Users\chenruoren\下载\样本8X
C:\Users\chenruoren\下载\样本8X\#8 (1).zip > ZIP > _Es9Ef2S8f0.bat - PowerShell/TrojanDownloader.Agent.AIU 特洛伊木马
C:\Users\chenruoren\下载\样本8X\#8 (1).zip > ZIP > I -/_Es9Ef2S8f0.bat - PowerShell/TrojanDownloader.Agent.AIU 特洛伊木马
C:\Users\chenruoren\下载\样本8X\#8 (3).msi > MSI > Binary._D7D112F049BA1A655B5D9A1D0702DEE5 - Win32/Injector.EKOL 特洛伊木马的变种
已扫描的对象数: 28
检测数: 3
已清除对象数: 0
完成时间: 16:32:48 总扫描时间: 2 秒 (00:00:02)

显示全部楼层 · 发表于 2020-2-15 16:37:34

FSIS - 5/8

显示全部楼层 · 发表于 2020-2-15 16:38:05

温馨小屋发表于 2020-2-15 16:33
我觉得这肯定不是iso，非常像混淆过的脚本

Base64格式的。。。
txt文件有几个是纯Base64编码形式，是不能运行的，
提醒一下楼主@www-tekeze ，像看到这种纯Base64编码形式的，在文档头部加上

powershell.exe -encodedcommand

复制代码

并把后缀改为ps1，这样才能运行

经上述操作后e家又多杀了2个

#8 (1)\I -\_Es9Ef2S8f0.bat - PowerShell/TrojanDownloader.Agent.AIU 特洛伊木马
#8 (1)\_Es9Ef2S8f0.bat - PowerShell/TrojanDownloader.Agent.AIU 特洛伊木马
#8 (3).msi > MSI > Binary._D7D112F049BA1A655B5D9A1D0702DEE5 - Win32/Injector.EKOL 特洛伊木马的变种
#8 (6).ps1 > BASE64 > decoded.exe - MSIL/Agent.APN 特洛伊木马的变种
#8 (8).ps1 > BASE64 > decoded.exe - MSIL/Bladabindi.BH 特洛伊木马

显示全部楼层 · 发表于 2020-2-15 16:40:43

本帖最后由静影沉璧于 2020-2-15 16:52 编辑

ESET

Scan:6/8

解压(2)中vbs并运行，blocked by AMSI

Time;Scanner;Object type;Object;Detection;Action;User;Information;Hash;First seen here
2020/2/15 16:49:19;AMSI scanner;file;C:\Users\Administrator\Desktop\样本8X\JVC_54356.vbs;VBS/Obfuscated.G trojan;blocked;;1433F6418081717BC45220628C4EC1115287189B;

复制代码

[病毒样本] 样本8X

评分

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

浏览过的版块