EXE样本10X_84

显示全部楼层 · 发表于 2020-3-2 14:57:03

温馨小屋发表于 2020-3-2 14:56
这个样本会下载监控程序后台安装，不过得等两三分钟才有动作

那就好，不到1分钟就用任务管理器结束进程了

显示全部楼层 · 发表于 2020-3-2 14:59:11

本帖最后由椿花湫月于 2020-3-2 15:10 编辑

Malwarebytes kill all

檔案: 10
Trojan.Emotet, C:\USERS\BEG0NIAS\DESKTOP\EXE%E6%A0%B7%E6%9C%AC10X_84\EXE样本10X_84\#84 (1).EXE, 使用者無動作, 519, 791392, 1.0.20082, 09DE11D31259B6991E603108, dds, 00613464
Generic.Malware/Suspicious, C:\USERS\BEG0NIAS\DESKTOP\EXE%E6%A0%B7%E6%9C%AC10X_84\EXE样本10X_84\#84 (10).EXE, 使用者無動作, 0, 392686, 1.0.20082, , shuriken,
Generic.Malware/Suspicious, C:\USERS\BEG0NIAS\DESKTOP\EXE%E6%A0%B7%E6%9C%AC10X_84\EXE样本10X_84\#84 (8).EXE, 使用者無動作, 0, 392686, 1.0.20082, , shuriken,
Trojan.MalPack.AutoIt.Generic, C:\USERS\BEG0NIAS\DESKTOP\EXE%E6%A0%B7%E6%9C%AC10X_84\EXE样本10X_84\#84 (5).EXE, 使用者無動作, 10106, 753810, 1.0.20082, 6C54F0065B7BF9913D71B77F, dds, 00613464
Trojan.MalPack.VND, C:\USERS\BEG0NIAS\DESKTOP\EXE%E6%A0%B7%E6%9C%AC10X_84\EXE样本10X_84\#84 (6).EXE, 使用者無動作, 10657, 793608, 1.0.20082, 73A546C2D8BD86676F43128B, dds, 00613464
Spyware.LokiBot, C:\USERS\BEG0NIAS\DESKTOP\EXE%E6%A0%B7%E6%9C%AC10X_84\EXE样本10X_84\#84 (4).EXE, 使用者無動作, 4202, 794889, 1.0.20082, , ame,
Trojan.MalPack.TRE.Generic, C:\USERS\BEG0NIAS\DESKTOP\EXE%E6%A0%B7%E6%9C%AC10X_84\EXE样本10X_84\#84 (2).EXE, 使用者無動作, 11092, 795027, 1.0.20082, 9BB2E90F4725AB0F01CEA12F, dds, 00613464
Spyware.AzorUlt, C:\USERS\BEG0NIAS\DESKTOP\EXE%E6%A0%B7%E6%9C%AC10X_84\EXE样本10X_84\#84 (3).EXE, 使用者無動作, 3995, 783207, 1.0.20082, 5D9D3592573EDDC59F6893DB, dds, 00613464
Trojan.MalPack.VB.Generic, C:\USERS\BEG0NIAS\DESKTOP\EXE%E6%A0%B7%E6%9C%AC10X_84\EXE样本10X_84\#84 (7).EXE, 使用者無動作, 10264, 793928, 1.0.20082, DE5ECC6E03910B1E8C8A017E, dds, 00613464
Trojan.MalPack.VB, C:\USERS\BEG0NIAS\DESKTOP\EXE%E6%A0%B7%E6%9C%AC10X_84\EXE样本10X_84\#84 (9).EXE, 使用者無動作, 825, 793803, 1.0.20082, DE5ECC6E03910B1E8C8A017E, dds, 00613464

话说MBAM杀exe是真的残忍

显示全部楼层 · 发表于 2020-3-2 14:59:52

椿花湫月发表于 2020-3-2 14:59
Malwarebytes
www.malwarebytes.com

下次能不能不要把日志直接搬上来。。

显示全部楼层 · 发表于 2020-3-2 15:01:08

QVM360 发表于 2020-3-2 14:59
下次能不能不要把日志直接搬上来。。

直接人脑日志？

显示全部楼层 · 发表于 2020-3-2 15:02:27

椿花湫月发表于 2020-3-2 15:01
直接人脑日志？

不是，只需要把威胁名和文件名搬上来就可以了，比如说
Trojan.MalPack.TRE.Generic, C:\USERS\BEG0NIAS\DESKTOP\EXE%E6%A0%B7%E6%9C%AC10X_84\EXE样本10X_84\#84 (2).EXE, 使用者無動作, 11092, 795027, 1.0.20082, 9BB2E90F4725AB0F01CEA12F, dds, 00613464
Spyware.AzorUlt, C:\USERS\BEG0NIAS\DESKTOP\EXE%E6%A0%B7%E6%9C%AC10X_84\EXE样本10X_84\#84 (3).EXE, 使用者無動作, 3995, 783207, 1.0.20082, 5D9D3592573EDDC59F6893DB, dds, 00613464

显示全部楼层 · 发表于 2020-3-2 15:04:10

温馨小屋发表于 2020-3-2 14:56
这个样本会下载监控程序后台安装，不过得等两三分钟才有动作

还真是，会自己下载一个被控端静默安装。。。PS：我这里没有静默运行的原因是火绒拦截了静默安装程序

显示全部楼层 · 发表于 2020-3-2 15:05:44

QVM360 发表于 2020-3-2 15:04
还真是，会自己下载一个被控端静默安装。。。PS：我这里没有静默运行的原因是火绒拦截了静默安装程序

人家用的正常软件来利用，所以卡巴PDM没反应，驱动都加载了好几个进去了，到最后才报的组件，ATD直接在下载之前就把10号杀了

显示全部楼层 · 发表于 2020-3-2 15:06:11

本帖最后由 QVM360 于 2020-3-2 15:07 编辑

温馨小屋发表于 2020-3-2 15:05
人家用的正常软件来利用，所以卡巴PDM没反应，驱动都加载了好几个进去了，到最后才报的组件，ATD直接在下 ...

这玩意会加载驱动？

不过我这实体机火绒没报毒，就说明软件没有安装进去咯

显示全部楼层 · 发表于 2020-3-2 15:06:55

QVM360 发表于 2020-3-2 15:06
这玩意会加载驱动？

你打开PCH看看，是不是多了好几个驱动，都是有数字签名的正常驱动

显示全部楼层 · 发表于 2020-3-2 15:08:06

温馨小屋发表于 2020-3-2 15:06
你打开PCH看看，是不是多了好几个驱动，都是有数字签名的正常驱动

应该没有，我运行之后不到30秒就结束进程了，应该不会有事。。。

我用火绒剑，不用pch

[病毒样本] EXE样本10X_84

评分

本帖子中包含更多资源

浏览过的版块