12x（20200224，Original+UPX）

QVM360

https://www.lanzous.com/i9n390j
如果@www-tekeze 这位大佬不再发样本的话，以后我来发

swizzer

智量
源文件&upx均清空。根目录下剩余4个

温馨小屋

卡巴


Original_File：3/4
Packed_With_UPX_Shell：2/4
外面的：2/8


双击：
Original_File：

24.02.2020 17.44.21;检测到 恶意软件;PDM:Trojan.Win32.Generic;C:\Users\hyperkaba\Desktop\12x（20200224）\12x（20200224）\Original_File\cl_setup.exe;c:\users\hyperkaba\desktop\12x（20200224）\12x（20200224）\original_file\cl_setup.exe;02/24/2020 17:44:21



Packed_With_UPX_Shell:
第一个和上面那个一样

24.02.2020 17.46.24;已终止 恶意软件;PDM:Trojan.Win32.Generic;WindowsNT System Manager;C:\Users\hyperkaba\Desktop\12x（20200224）\12x（20200224）\Packed_With_UPX_Shell\sample.exe;02/24/2020 17:46:24



外面的：

24.02.2020 17.47.16;检测到恶意软件;C:\Users\hyperkaba\Desktop\12x（20200224）\12x（20200224）\2.js;C:\Users\hyperkaba\Desktop\12x（20200224）\12x（20200224）\2.js;HEUR:Trojan-Downloader.Script.Generic;
C:\Users\hyperkaba\Desktop\12x（20200224）\12x（20200224）\2.js;C:\Users\hyperkaba\Desktop\12x（20200224）\12x（20200224）\2.js



3.exe miss

putin.js miss

Updated Pre-Contract miss

yona miss

Miostartos

2.js双击拦截URL。
putin.js沙盘报错
3.exe没跑出啥行为，一个没看懂的登陆器还是什么。
yano沙盘闪退。
origin的2双击有动作，沙盘里面下了1M多之后程序自动退出没下文。
其他的没测
另外putin.js是隔壁帖子那个把

LSPD

诺顿 扫描 根目录 3/8               
                -original 4/4
                -upx 1/4

双击 根目录
       3白文件
        js blocked
       其余文档文件未双击
        upx文件夹
        2号防火墙提示 默认拦载 拦载后进程呆滞
        cl-setup Data Protector拦载一次 后报大量出站迹象 ips大量拦载（话说ips和SONAR不连动吗）
        sample SONAR kill

心醉咖啡

毒霸

1. 扫描时间：[2020-02-24 17:42:22]
   
2. 扫描用时：[00:00:44]
   
3. 扫描类型：自定义查杀
   
4. 扫描文件总数：49
   
5. 扫描速度：1文件/秒
   
6. 发现威胁：3个
   
7. 清除威胁：3个
   
8. =============================================
   
9. [2020-02-24 17:43:14]
   
10. 威胁：f:\浏览器下载\12x（20200224）\4.exe
    
11. 类型：win32.troj.generic_a.a.(kcloud)
    
12. 处理方式：删除
    
13. 
    
14. [2020-02-24 17:43:14]
    
15. 威胁：f:\浏览器下载\12x（20200224）\original_file\1.exe
    
16. 类型：win32.pswtroj.tepfer.g.(kcloud)
    
17. 处理方式：删除
    
18. 
    
19. [2020-02-24 17:43:14]
    
20. 威胁：f:\浏览器下载\12x（20200224）\original_file\sample.exe
    
21. 类型：win32.troj.banker.(kcloud)
    
22. 处理方式：删除
    
23. 
    

复制代码

傲普斯顿

Norton 扫描Kill9  剩下3个双击唢呐拦截  首先桌面壁纸变黑  弹出许多命令行  除壁纸未回滚外其他衍生物均删除

DPT1

金山6x（不要在意截图）

a233

Avast
根目录 2/8

Original 3/4

UPX 3/4

双击
加了UPX的2.exe Avast没反应
1.xls 启用宏无事发生
2.js 加强模式阻止衍生物运行

3.exe 貌似不是毒

putin.js IDP报PS

Updated Pre-Contract.docx 无事发生
yano.msi 应该是一个安装包，安装就不试了

Nocria

IKARUS

Original_File - 4/4

1. [24.02.2020 18:30:28] On-demand scan started: "user_defined"
   
2. [24.02.2020 18:30:28] Found, 0.00s, SigName: "Trojan-Ransom.Ryuk", SigId: 293401039, Type: "VIRUS", File: "C:\Users\promi\Desktop\12x（20200224）\12x（20200224）\Original_File\sample.exe"
   
3. [24.02.2020 18:30:28] Found, 0.00s, SigName: "Trojan.Win32.Pony", SigId: 2843988, Type: "VIRUS", File: "C:\Users\promi\Desktop\12x（20200224）\12x（20200224）\Original_File\1.exe"
   
4. [24.02.2020 18:30:28] Found, 0.94s, SigName: "Backdoor.Win32.Zegost", SigId: 3751009, Type: "VIRUS", File: "C:\Users\promi\Desktop\12x（20200224）\12x（20200224）\Original_File\2.exe"
   
5. [24.02.2020 18:30:28] Found, 0.188s, SigName: "Trojan-Spy.HawkEye", SigId: 3247622, Type: "VIRUS", File: "C:\Users\promi\Desktop\12x（20200224）\12x（20200224）\Original_File\cl_setup.exe"
   
6. [24.02.2020 18:30:28] On-demand scan FINISHED: "user_defined"
   
7. [24.02.2020 18:30:28] ----------------------------------------------------
   
8. [24.02.2020 18:30:28] Directories scanned: 0
   
9. [24.02.2020 18:30:28] Files scanned: 4
   
10. [24.02.2020 18:30:28] Virus found: 4
    
11. [24.02.2020 18:30:28] ----------------------------------------------------

复制代码

Packed_With_UPX_Shell - 3/4

1. [24.02.2020 18:31:22] On-demand scan started: "user_defined"
   
2. [24.02.2020 18:31:22] Found, 0.93s, SigName: "Backdoor.Win32.Zegost", SigId: 3751009, Type: "VIRUS", File: "C:\Users\promi\Desktop\12x（20200224）\12x（20200224）\Packed_With_UPX_Shell\2.exe"
   
3. [24.02.2020 18:31:22] Found, 0.140s, SigName: "Trojan.Win32.Pony", SigId: 2843988, Type: "VIRUS", File: "C:\Users\promi\Desktop\12x（20200224）\12x（20200224）\Packed_With_UPX_Shell\1.exe"
   
4. [24.02.2020 18:31:23] Found, 0.250s, SigName: "Trojan-Spy.HawkEye", SigId: 3247622, Type: "VIRUS", File: "C:\Users\promi\Desktop\12x（20200224）\12x（20200224）\Packed_With_UPX_Shell\cl_setup.exe"
   
5. [24.02.2020 18:31:23] On-demand scan FINISHED: "user_defined"
   
6. [24.02.2020 18:31:23] ----------------------------------------------------
   
7. [24.02.2020 18:31:23] Directories scanned: 1
   
8. [24.02.2020 18:31:23] Files scanned: 4
   
9. [24.02.2020 18:31:23] Virus found: 3
   
10. [24.02.2020 18:31:23] ----------------------------------------------------

复制代码

根目录 - 3/10

1. [24.02.2020 18:28:47] On-demand scan started: "user_defined"
   
2. [24.02.2020 18:28:47] Found, 0.00s, SigName: "Win32.SuspectCrc", SigId: 293399892, Type: "VIRUS", File: "C:\Users\promi\Desktop\12x（20200224）\12x（20200224）\RFQ _ 6000154157.xlsx"
   
3. [24.02.2020 18:28:47] Found, 0.31s, SigName: "Trojan.MSIL.Inject", SigId: 3751231, Type: "VIRUS", File: "C:\Users\promi\Desktop\12x（20200224）\12x（20200224）\4.exe"
   
4. [24.02.2020 18:28:47] Found, 0.00s, SigName: "Win32.SuspectCrc", SigId: 293402804, Type: "VIRUS", File: "C:\Users\promi\Desktop\12x（20200224）\12x（20200224）\2.js"
   
5. [24.02.2020 18:28:49] On-demand scan FINISHED: "user_defined"
   
6. [24.02.2020 18:28:49] ----------------------------------------------------
   
7. [24.02.2020 18:28:49] Directories scanned: 0
   
8. [24.02.2020 18:28:49] Files scanned: 8
   
9. [24.02.2020 18:28:49] Virus found: 3
   
10. [24.02.2020 18:28:49] ----------------------------------------------------
    

复制代码