#Downloader DOC/DOCX/DOCM

显示全部楼层 · 发表于 2020-3-12 19:01:31

下载:https://www.lanzous.com/ia6n6id 密码:cdme

https://www.hybrid-analysis.com/sample/e68ef7fe4877bbea56c521a2e6ca6ef189ada631a760bdd3ae22ea2a5b9a8d25?environmentId=100

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"><html><head><title>301 Moved Permanently</title></head><body><h1>Moved Permanently</h1><p>The document has moved <a href="https://secure.zenithglobalplc.com/assets/plugins/bootstrap-wizard/system_x64.exe">here</a>.</p></body></html>

复制代码

显示全部楼层 · 发表于 2020-3-12 19:04:26

Avast双击拦截一个网址

显示全部楼层 · 发表于 2020-3-12 19:10:02

火绒扫描miss

显示全部楼层 · 发表于 2020-3-12 19:15:51

E绒扫描均miss，饭后双击

@QVM360

显示全部楼层 · 发表于 2020-3-12 19:17:01

ESET miss

显示全部楼层 · 发表于 2020-3-12 19:20:38

诺顿解压完自动防护杀

显示全部楼层 · 发表于 2020-3-12 20:10:08

我日了卡巴真的太对自己的主防自信了。。。。真是狠狠地体验了一番卡巴是如何把检测点尽量往后移的。

双击文档，卡巴不报毒
启用编辑，卡巴不报毒
启用脚本，卡巴不报毒
脚本成功运行，下载回来payload并运行，卡巴不报毒。
payload运行，卡巴报毒，回滚。

12.03.2020 20.03.26;检测到恶意软件;PDM:Trojan.Win32.Generic;C:\MyImages\presskey.cmd;c:\myimages\presskey.cmd;03/12/2020 20:03:26
12.03.2020 20.03.26;检测到恶意软件;PDM:Trojan.Win32.Generic;C:\MyImages\presskey.cmd;c:\myimages\tlofgkkjl15g5k.vbs;03/12/2020 20:03:26
12.03.2020 20.03.26;已终止恶意软件;PDM:Trojan.Win32.Generic;C:\MyImages\tlofgkkjl15g5k.vbs;C:\Windows\SysWOW64\cscript.exe;03/12/2020 20:03:26
12.03.2020 20.03.26;已终止恶意软件;PDM:Trojan.Win32.Generic;C:\MyImages\presskey.cmd;C:\Windows\SysWOW64\cmd.exe;03/12/2020 20:03:26
12.03.2020 20.03.33;已移除恶意软件;PDM:Trojan.Win32.Generic;C:\MyImages\presskey.cmd;c:\myimages\tlofgkkjl15g5k.vbs;03/12/2020 20:03:33
12.03.2020 20.03.33;已移除恶意软件;PDM:Trojan.Win32.Generic;C:\MyImages\presskey.cmd;c:\myimages\presskey.cmd;03/12/2020 20:03:33
12.03.2020 20.03.44;回滚恶意软件的操作时文件被删除;C:\MyImages\tlofgkkjl15g5k.vbs;C:\MyImages\presskey.cmd;c:\myimages\presskey.cmd;03/12/2020 20:03:44
12.03.2020 20.03.44;已回滚恶意软件的操作;PDM:Trojan.Win32.Generic;C:\MyImages\presskey.cmd;c:\myimages\tlofgkkjl15g5k.vbs;03/12/2020 20:03:44
12.03.2020 20.03.44;已回滚恶意软件的操作;PDM:Trojan.Win32.Generic;C:\MyImages\presskey.cmd;c:\myimages\presskey.cmd;03/12/2020 20:03:44

显示全部楼层 · 发表于 2020-3-12 20:13:07

本帖最后由 pal家族于 2020-3-12 20:24 编辑

然后到最后这个罪魁祸首的文档，卡巴都没有动。

我寻思着这个
http://secure.zenithglobalplc.co ... zard/system_x64.exe
才是真正的payload，没让他下载下来，卡巴已经把脚本解释器关掉了。

然后这玩意是打着跟埃博拉有关的情况来钓鱼的，
预计是用来钓某些国的CDC的工作人员

显示全部楼层 · 发表于 2020-3-12 20:23:07

ESET
双击杀衍生物

C:\MyImages\presskey.cmd->BAT/TrojanDownloader.Agent.NZM

复制代码

显示全部楼层 · 发表于 2020-3-12 20:38:02

本帖最后由 DPT1 于 2020-3-12 20:39 编辑

样本\invoice\invoice.doc
类型：win32.office.macro.4456503
处理方式：修复

[病毒样本] #Downloader DOC/DOCX/DOCM

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

浏览过的版块