EXE样本5X_195

QVM360

RT，未改后缀请小心食用，后果自负。。



载点：https://www.lanzous.com/iajifkh     密码：infected
Original+MD5+UPX（测试杀软脱壳能力）+ASPack（测试杀软通杀能力）+ZProtect（测试杀软抗混淆抗加密能力）+VMProtect（测试杀软主防）

54ss

BDTS扫描剩余
Original：剩余4，5
MD5：同上
ASPack：1，2
UPX：2
ZProtect：1，2，5
VMProtect：1，2，3

GravityZone Elite 扫描 剩余Original：剩余4，5
MD5：同上
ASPack：1，2
UPX：2
ZProtect：1，5 比个人版多杀了一个2
VMProtect：1，2，3

SayWhat13

Malwarebytes

aspack 13 miss
md5 1 miss
original 1 miss
upx 1 miss
vmprotect 123 miss
zprotect 123 miss

File: 12
Trojan.GuLoader.VB, C:\USERS\PRESTON\DOWNLOADS\COMPRESSED\EXE样本5X_195\EXE样本5X_195\MD5\3.EXE, No Action By User, 10263, 800607, 1.0.21184, 9E78F84817629C1E237408E5, dds, 00643031
Generic.Malware/Suspicious, C:\USERS\PRESTON\DOWNLOADS\COMPRESSED\EXE样本5X_195\EXE样本5X_195\UPX\3.EXE, No Action By User, 0, 392686, 1.0.21184, , shuriken,
MachineLearning/Anomalous.100%, C:\USERS\PRESTON\DOWNLOADS\COMPRESSED\EXE样本5X_195\EXE样本5X_195\ASPACK\2.EXE, No Action By User, 0, 392687, 1.0.21184, , shuriken,
MachineLearning/Anomalous.100%, C:\USERS\PRESTON\DOWNLOADS\COMPRESSED\EXE样本5X_195\EXE样本5X_195\UPX\2.EXE, No Action By User, 0, 392687, 1.0.21184, , shuriken,
Trojan.MalPack.AutoIt, C:\USERS\PRESTON\DOWNLOADS\COMPRESSED\EXE样本5X_195\EXE样本5X_195\MD5\2.EXE, No Action By User, 7647, 798318, 1.0.21184, 6666A8E6A8F1DBB2B5239EB1, dds, 00643031
Trojan.GuLoader.VB, C:\USERS\PRESTON\DOWNLOADS\COMPRESSED\EXE样本5X_195\EXE样本5X_195\ORIGINAL\3.EXE, No Action By User, 10263, 800607, 1.0.21184, 9E78F84817629C1E237408E5, dds, 00643031
Trojan.MalPack.AutoIt, C:\USERS\PRESTON\DOWNLOADS\COMPRESSED\EXE样本5X_195\EXE样本5X_195\ORIGINAL\2.EXE, No Action By User, 7647, 798318, 1.0.21184, 6666A8E6A8F1DBB2B5239EB1, dds, 00643031
Malware.Heuristic.7, C:\USERS\PRESTON\DOWNLOADS\COMPRESSED\EXE样本5X_195\EXE样本5X_195\ORIGINAL\4.EXE, No Action By User, 7, 0, 1.0.21184, 7, dds, 00643031
Heuristics.Shuriken, C:\USERS\PRESTON\DOWNLOADS\COMPRESSED\EXE样本5X_195\EXE样本5X_195\MD5\5.EXE, No Action By User, 9944, 167, 1.0.21184, , ame,
Heuristics.Shuriken, C:\USERS\PRESTON\DOWNLOADS\COMPRESSED\EXE样本5X_195\EXE样本5X_195\ZPROTECT\5.ZP.EXE, No Action By User, 9944, 167, 1.0.21184, 52030FB7AD21E079C8CED83D, dds, 00643031
Malware.Heuristic.7, C:\USERS\PRESTON\DOWNLOADS\COMPRESSED\EXE样本5X_195\EXE样本5X_195\MD5\4.EXE, No Action By User, 7, 0, 1.0.21184, 7, dds, 00643031
Heuristics.Shuriken, C:\USERS\PRESTON\DOWNLOADS\COMPRESSED\EXE样本5X_195\EXE样本5X_195\ORIGINAL\5.EXE, No Action By User, 9944, 167, 1.0.21184, , ame,

a233

Avast
Original 4/5

MD5 4/5

UPX 2/3

Aspack 1/3

ZProtect 2/4

VMP 0/3
基本都报错不双击了，上报

a27573

ESET
Original 5/5

1. 日志
   
2. 正在扫描日志
   
3. 检测引擎的版本: 21039 (20200322)
   
4. 日期: 2020/3/22  时间: 22:21:22
   
5. 已扫描的磁盘、文件夹和文件: F:\Virus\test\EXE样本5X_195\Original
   
6. F:\Virus\test\EXE样本5X_195\Original\1.exe - Win32/Filecoder.OBE 特洛伊木马 的变种 - 通过删除清除 [1]
   
7. F:\Virus\test\EXE样本5X_195\Original\2.exe > AUTOIT > script.bin - Win32/Injector.Autoit.FDS 特洛伊木马 的变种 - 通过删除清除 [1]
   
8. F:\Virus\test\EXE样本5X_195\Original\3.exe - Win32/TrojanDownloader.Agent.EYK 特洛伊木马 - 通过删除清除 [1]
   
9. F:\Virus\test\EXE样本5X_195\Original\4.exe - Win32/Filecoder.NZK 特洛伊木马 的变种 - 通过删除清除 [1]
   
10. F:\Virus\test\EXE样本5X_195\Original\5.exe - MSIL/GenKryptik.EGUB 特洛伊木马 的变种 - 通过删除清除 [1]
    
11. 已扫描的对象数: 7
    
12. 检测数: 5
    
13. 已清除对象数: 5
    
14. 完成时间: 22:21:41  总扫描时间: 19 秒 (00:00:19)
    
15. 
    
16. 备注:
    
17. [1] 由于对象中仅包含病毒主体，因此已被删除。
    

复制代码

MD5 5/5

1. 日志
   
2. 正在扫描日志
   
3. 检测引擎的版本: 21039 (20200322)
   
4. 日期: 2020/3/22  时间: 22:21:26
   
5. 已扫描的磁盘、文件夹和文件: F:\Virus\test\EXE样本5X_195\MD5
   
6. F:\Virus\test\EXE样本5X_195\MD5\1.exe - Win32/Filecoder.OBE 特洛伊木马 的变种 - 通过删除清除 [1]
   
7. F:\Virus\test\EXE样本5X_195\MD5\2.exe > AUTOIT > script.bin - Win32/Injector.Autoit.FDS 特洛伊木马 的变种 - 通过删除清除 [1]
   
8. F:\Virus\test\EXE样本5X_195\MD5\3.exe - Win32/TrojanDownloader.Agent.EYK 特洛伊木马 - 通过删除清除 [1]
   
9. F:\Virus\test\EXE样本5X_195\MD5\4.exe - Win32/Filecoder.NZK 特洛伊木马 的变种 - 通过删除清除 [1]
   
10. F:\Virus\test\EXE样本5X_195\MD5\5.exe - MSIL/GenKryptik.EGUB 特洛伊木马 的变种 - 通过删除清除 [1]
    
11. 已扫描的对象数: 7
    
12. 检测数: 5
    
13. 已清除对象数: 5
    
14. 完成时间: 22:21:43  总扫描时间: 17 秒 (00:00:17)
    
15. 
    
16. 备注:
    
17. [1] 由于对象中仅包含病毒主体，因此已被删除。
    

复制代码

UPX 3/3

1. 日志
   
2. 正在扫描日志
   
3. 检测引擎的版本: 21039 (20200322)
   
4. 日期: 2020/3/22  时间: 22:21:30
   
5. 已扫描的磁盘、文件夹和文件: F:\Virus\test\EXE样本5X_195\UPX
   
6. F:\Virus\test\EXE样本5X_195\UPX\1.exe - Win32/Filecoder.OBE 特洛伊木马 的变种 - 通过删除清除 [1]
   
7. F:\Virus\test\EXE样本5X_195\UPX\2.exe > UPX v13_m8 > AUTOIT > script.bin - Win32/Injector.Autoit.FDS 特洛伊木马 的变种 - 通过删除清除 [1]
   
8. F:\Virus\test\EXE样本5X_195\UPX\3.exe - Win32/TrojanDownloader.Agent.EYK 特洛伊木马 - 通过删除清除 [1]
   
9. 已扫描的对象数: 6
   
10. 检测数: 3
    
11. 已清除对象数: 3
    
12. 完成时间: 22:21:40  总扫描时间: 10 秒 (00:00:10)
    
13. 
    
14. 备注:
    
15. [1] 由于对象中仅包含病毒主体，因此已被删除。
    

复制代码

ASPack 3/3

1. 日志
   
2. 正在扫描日志
   
3. 检测引擎的版本: 21039 (20200322)
   
4. 日期: 2020/3/22  时间: 22:21:43
   
5. 已扫描的磁盘、文件夹和文件: F:\Virus\test\EXE样本5X_195\ASPack
   
6. F:\Virus\test\EXE样本5X_195\ASPack\1.exe - Win32/Filecoder.OBE 特洛伊木马 的变种 - 通过删除清除 [1]
   
7. F:\Virus\test\EXE样本5X_195\ASPack\2.exe > AUTOIT > script.bin - Win32/Injector.Autoit.FDS 特洛伊木马 的变种 - 通过删除清除 [1]
   
8. F:\Virus\test\EXE样本5X_195\ASPack\3.exe - Win32/TrojanDownloader.Agent.EYK 特洛伊木马 - 通过删除清除 [1]
   
9. 已扫描的对象数: 5
   
10. 检测数: 3
    
11. 已清除对象数: 3
    
12. 完成时间: 22:21:59  总扫描时间: 16 秒 (00:00:16)
    
13. 
    
14. 备注:
    
15. [1] 由于对象中仅包含病毒主体，因此已被删除。
    

复制代码

ZProtect 3/4

1. 日志
   
2. 正在扫描日志
   
3. 检测引擎的版本: 21039 (20200322)
   
4. 日期: 2020/3/22  时间: 22:21:47
   
5. 已扫描的磁盘、文件夹和文件: F:\Virus\test\EXE样本5X_195\ZProtect
   
6. F:\Virus\test\EXE样本5X_195\ZProtect\1.zp.exe > ZProtect - Win32/Filecoder.OBE 特洛伊木马 的变种 - 扫描完成后再选择处理方式
   
7. F:\Virus\test\EXE样本5X_195\ZProtect\2.zp.exe > ZProtect > AUTOIT > script.bin - Win32/Injector.Autoit.FDS 特洛伊木马 的变种 - 扫描完成后再选择处理方式
   
8. F:\Virus\test\EXE样本5X_195\ZProtect\3.zp.exe > ZProtect - Win32/TrojanDownloader.Agent.EYK 特洛伊木马 - 扫描完成后再选择处理方式
   
9. F:\Virus\test\EXE样本5X_195\ZProtect\1.zp.exe > ZProtect - Win32/Filecoder.OBE 特洛伊木马 的变种 - 已删除
   
10. F:\Virus\test\EXE样本5X_195\ZProtect\2.zp.exe > ZProtect > AUTOIT > script.bin - Win32/Injector.Autoit.FDS 特洛伊木马 的变种 - 已删除
    
11. F:\Virus\test\EXE样本5X_195\ZProtect\3.zp.exe > ZProtect - Win32/TrojanDownloader.Agent.EYK 特洛伊木马 - 已删除
    
12. 已扫描的对象数: 14
    
13. 检测数: 3
    
14. 已清除对象数: 3
    
15. 完成时间: 22:22:08  总扫描时间: 21 秒 (00:00:21)
    

复制代码

VMProtect 1/3

1. 日志
   
2. 正在扫描日志
   
3. 检测引擎的版本: 21039 (20200322)
   
4. 日期: 2020/3/22  时间: 22:22:08
   
5. 已扫描的磁盘、文件夹和文件: F:\Virus\test\EXE样本5X_195\VMProtect
   
6. F:\Virus\test\EXE样本5X_195\VMProtect\2.vmp.exe - Win32/Packed.VMProtect.AG 可疑应用程序 的变种 - 通过删除清除 [1]
   
7. 已扫描的对象数: 4
   
8. 检测数: 1
   
9. 已清除对象数: 1
   
10. 完成时间: 22:22:23  总扫描时间: 15 秒 (00:00:15)
    
11. 
    
12. 备注:
    
13. [1] 由于对象中仅包含病毒主体，因此已被删除。
    

复制代码

QVM360

a27573 发表于 2020-3-22 22:26
ESET
Original 5/5

同...
ESET能脱ZProtect是真的厉害加密混淆压缩壳啊。。。

a27573

QVM360 发表于 2020-3-22 22:28
同...
ESET能脱ZProtect是真的厉害加密混淆压缩壳啊。。。

你开了ZP的虚拟机加密吗

由于压缩壳的代码最终会在内存中解压，而ESET主要检测syscall所以混淆对其影响不大，因此ESET的动态启发式和AMS天然克制压缩壳

而虚拟机（壳的一种技术）相当于把整个文件的指令都给翻译成壳的指令系统，由壳的解释部分负责运行，ESET不认识这些指令（或者说，在ESET看来这是数据不是指令），因此无法检测syscall，想要知道其行为只能老老实实地模拟，会有极大的性能损害，因此ESET对于虚拟机壳比较无力，一般都是直接报壳

所以能脱加密混淆压缩壳并不能说明什么

具体可以看B大的这篇文章：https://bbs.kafan.cn/forum.php?m ... 124940&pid=42100894（强烈推荐！）

所以我认为：ZProtect其实并不是真正意义上的强壳（虚拟机壳）或者它本身有弱点可以被ESET针对而还原出代码

QVM360

a27573 发表于 2020-3-22 22:53
你开了ZP的虚拟机加密吗

由于压缩壳的代码最终会在内存中解压，而ESET主要检测syscall所以混淆对其影 ...

怎么开啊，我试试看

LSPD

Kaspersky 扫描 kill 9x 双击 kill 1x 其余 miss

QVM360

LSPD 发表于 2020-3-22 22:59
Kaspersky 扫描 kill 9x 扫描 kill 1x 其余 miss

是双击Kill1个吧