EXE样本10X_89

FD丶纸鸢

norton kill11x(普通+upx
普通剩下5 7
upx剩下3 5 7
双击普通5 SONAR.Heuristic.170
双击普通7 出现托盘图标 弹出对话框（懒得截图了

MSG             X
     Data_Invalid
                        确定

MSG             X
     User Password = -1
                        确定

MSG             X
     Error
                       确定

然后又弹了几个类似的就开始进程驻留 诺顿大杀器miss

双击upx3  运行一会后SONAR有反应

RegAsm.exe 威胁名称: SONAR.Nancrat!gen3
本体miss
3.exe运行CPU占用在40-50左右波动 其他未发现异常 进程无动作驻留 任务管理器kill
双击upx5 同上
双击upx7 点完对话框后SONAR拦截SONAR.Heuristic.170
emmmm问问SONAR的这个主防报毒名应该怎么去分类啊............

病毒探索者

EMSISOFT scan 11x

Emsisoft Anti-Malware Home - 版本 2020.3
最后更新： 2020/3/13 12:55:30
操作系统版本： Windows 10x64

扫描设置：

扫描方式： 自定义扫描
对象： C:\Users\CNSAc\Downloads\EXE样本10X_89\Original, C:\Users\CNSAc\Downloads\EXE样本10X_89\UPX

检测流氓软件(PUPs)： 开
扫描存档： 开
扫描邮件档案： 关
ADS数据流扫描： 开
文件扩展名过滤： 关
直接磁盘访问： 关

扫描开始：        2020/3/13 13:42:30
C:\Users\CNSAc\Downloads\EXE样本10X_89\Original\9.exe -> (NSIS o) -> zlib_nsis0005         发现风险： Gen:Variant.Ursu.786287 (B) [krnl.xmd]
C:\Users\CNSAc\Downloads\EXE样本10X_89\Original\10.exe         发现风险： Trojan.NanoCore (A) [303069]
C:\Users\CNSAc\Downloads\EXE样本10X_89\Original\4.exe         发现风险： Trojan.GenericKD.33538321 (B) [krnl.xmd]
C:\Users\CNSAc\Downloads\EXE样本10X_89\Original\6.exe         发现风险： Trojan.GenericKD.33537784 (B) [krnl.xmd]
C:\Users\CNSAc\Downloads\EXE样本10X_89\Original\2.exe         发现风险： Trojan.GenericKD.42841178 (B) [krnl.xmd]
C:\Users\CNSAc\Downloads\EXE样本10X_89\Original\3.exe         发现风险： Trojan.GenericKD.33537533 (B) [krnl.xmd]
C:\Users\CNSAc\Downloads\EXE样本10X_89\Original\8.exe         发现风险： Trojan.GenericKD.33528157 (B) [krnl.xmd]
C:\Users\CNSAc\Downloads\EXE样本10X_89\Original\1.exe         发现风险： DeepScan:Generic.Keylogger.2.FC572F92 (B) [krnl.xmd]
C:\Users\CNSAc\Downloads\EXE样本10X_89\UPX\4.exe         发现风险： Gen:Variant.Barys.686 (B) [krnl.xmd]
C:\Users\CNSAc\Downloads\EXE样本10X_89\UPX\2.exe         发现风险： Gen:Variant.Barys.686 (B) [krnl.xmd]
C:\Users\CNSAc\Downloads\EXE样本10X_89\UPX\1.exe         发现风险： DeepScan:Generic.Keylogger.2.63902E6A (B) [krnl.xmd]

扫描        19
发现        11

扫描结束：        2020/3/13 13:42:39
扫描时间：        0:00:09
对没扫出的样本双击 killed 3x
总共 14/17 82.35%

ESET NOD32 ANTIVIRUS测试结果
Original 查杀9/10；UPX 查杀6/7

病毒探索者

病毒探索者 发表于 2020-3-13 13:44
EMSISOFT scan 11x

Emsisoft Anti-Malware Home - 版本 2020.3

剩下的三个卡巴云拉黑

FD丶纸鸢

补充
其实我翻车了........
上面提到诺顿双击无壳7.exe的时候miss了
实际上这玩意pass了诺顿！
pass了！！！！！
在后台用RegAsm呆了两个小时左右！
然后我上网课的时候诺顿提示检测到大量的出站请求 我还没在意 然后就............（如图
...........干

所以为什么诺顿没杀不加壳的杀了加壳的啊！！！！！！！！！！！！！！

LSPD

FD丶纸鸢 发表于 2020-3-13 15:31
补充
其实我翻车了........
上面提到诺顿双击无壳7.exe的时候miss了

诺顿有Heur.AdvML.B/C、这玩意杀壳比较严重
SONAR?这玩意一直很迷，估计是网络不好
ips狂报？用NPE扫一下就好了
实机双击不开影子的吗

FD丶纸鸢

LSPD 发表于 2020-3-13 15:38
诺顿有Heur.AdvML.B/C、这玩意杀壳比较严重
SONAR?这玩意一直很迷，估计是网络不好
ips狂报？用NPE扫一 ...

我把RegAsm.exe用任务管理器kill了，就不报了
至于NPE，扫着扫着就取消扫描了，然后就卡那一个小时有了还是正在取消...........（出去理发回来还是卡着的
打算重启了（摆手
影子系统？我一直没装，以前卡巴Emsi火绒双击的时候都没有的

ox400000

迈克菲6个

ox400000

换了迈克菲怎么查杀率变低了