样本11X - [阅读权限15]

Nocria

IKARUS - 6/11

1. [02.03.2020 12:54:39] On-demand scan started: "user_defined"
   
2. [02.03.2020 12:54:39] Found, 0.00s, SigName: "Trojan.PowerShell.Rozena", SigId: 3232731, Type: "VIRUS", File: "C:\Users\promi\Desktop\样本11X\样本11X\1.bat"
   
3. [02.03.2020 12:54:39] Found, 0.15s, SigName: "Exploit.CVE-2017-11882", SigId: 3283595, Type: "VIRUS", File: "C:\Users\promi\Desktop\样本11X\样本11X\11.xlsx"
   
4. [02.03.2020 12:54:39] Found, 0.47s, SigName: "Trojan-Downloader.VBA.Emotet", SigId: 3746224, Type: "VIRUS", File: "C:\Users\promi\Desktop\样本11X\样本11X\10.doc"
   
5. [02.03.2020 12:54:39] Found, 0.16s, SigName: "Trojan-Dropper.VBS.Agent", SigId: 3087316, Type: "VIRUS", File: "C:\Users\promi\Desktop\样本11X\样本11X\5.vbs"
   
6. [02.03.2020 12:54:39] Found, 0.15s, SigName: "Trojan-Downloader.VBA.Emotet", SigId: 3669953, Type: "VIRUS", File: "C:\Users\promi\Desktop\样本11X\样本11X\7.docm"
   
7. [02.03.2020 12:54:39] Found, 0.63s, SigName: "Exploit.CVE-2017-11882", SigId: 3283595, Type: "VIRUS", File: "C:\Users\promi\Desktop\样本11X\样本11X\4.xlsx"
   
8. [02.03.2020 12:54:41] On-demand scan FINISHED: "user_defined"
   
9. [02.03.2020 12:54:41] ----------------------------------------------------
   
10. [02.03.2020 12:54:41] Directories scanned: 2
    
11. [02.03.2020 12:54:41] Files scanned: 11
    
12. [02.03.2020 12:54:41] Virus found: 6
    
13. [02.03.2020 12:54:41] ----------------------------------------------------

复制代码

杀软病综合医院

猥琐大叔 发表于 2020-3-2 10:40
为什么扫描报毒 不是apc 按理说 双击监控不报？

一般手动扫描会连云，但也不全是，是本地断定一定危险级别后会上传鉴定，解压监控全是本地检测，

沈志鸣

火绒kill 3x
1.bat TrojanDownloader/PowerShell.Agent.m
5.vbs Trojan/VBS.Kalhine.a
7.docm OMacro/Downloader

猥琐大叔

杀软病综合医院 发表于 2020-3-2 14:18
一般手动扫描会连云，但也不全是，是本地断定一定危险级别后会上传鉴定，解压监控全是本地检测，

本地报毒不删除，双击不报？

杀软病综合医院

猥琐大叔 发表于 2020-3-2 15:02
本地报毒不删除，双击不报？

本地能查的都隔离，双击释放某些衍生物或者高危动作，也隔离。

重点在于扫描级别肯定有阈值，或者被免杀，所以靠双击，双击规则也不全，就靠云端判断，双击触发云的具体条件我也不是很清楚，只知道不是每次都触发（在日志有体现）

傲普斯顿

bbszy 发表于 2020-3-2 12:14
双击啊

实体机不敢作死