查看: 974|回复: 6
收起左侧

[病毒样本] 神奇的Backdoor(?)

[复制链接]
AlphaRabbit
头像被屏蔽
发表于 2020-4-5 18:34:50 | 显示全部楼层 |阅读模式
在客户电脑上抓出来的。

样本链接(七天有效): https://pan.baidu.com/s/1RSs0wng59e1hNgFND9FqeA 提取码: 49u4

密码:infected

我说它神奇在于,它试图连接hm.baidu.com,但是连接到的却是一个香港的IP地址(一般而言,大陆地区应该解析出中国北京的地址)。

分析地址:https://www.hybrid-analysis.com/ ... 4?environmentId=120


CHURP
发表于 2020-4-5 18:35:21 | 显示全部楼层
ft-cai
发表于 2020-4-5 18:43:01 | 显示全部楼层
kaspersky miss
54ss
发表于 2020-4-6 19:41:08 | 显示全部楼层
本帖最后由 54ss 于 2020-4-6 19:47 编辑

BEST 扫描 MISS
双击 暂时也没反应……
先上报再说VT上八个月前就有了…… 还没几家报

BD沙盒分析出来了 杀
沙盒分析器检测到未知威胁. 文件已被删除。C:\Users\JOJO\Desktop\andylau1064g.exe

Modifies the registry so that it runs at system startup and when a user logs on. To do this, the original file c:\users\jojo\desktop\andylau1064g.exe modifies the registry key hkcu\software\microsoft\windows\currentversion\run\flagx : c:\users\jojo\desktop\andylau1064g.exe.
Network accesses can be used for the following reasons: check for Internet connection, report a new infection to its author, receive configuration or other data, receive instructions, search for its location, upload information etc. The original file c:\users\jojo\desktop\andylau1064g.exe connects to the domains hm.baidu.com/hm.gif?si=3a149aa78d002d0248fa7b89efed39ba&et=0&nv=1&st=2&se=1&su=https%3A%2F%2Fwww.baidu.com%2Fs%3Fie%3DUTF-8%26wd%3Dandylau1064g&v=wap-0-0.2&rnd=11111132487, 119.29.29.29:53.
Performs various changes to the file system. These changes can have various purposes from ensuring persistence and continuing the activities from an unknown location, storing information or modifying existing files to restrict access or destroying user data. The sample changes file attributes. By changing file attributes, it makes them harder to find or remove. The original file c:\users\jojo\desktop\andylau1064g.exe changes %profile%\appdata\roaming\microsoft\windows\cookies's attributes to include system, hidden, %profile%\appdata\local\microsoft\windows\temporary internet files\content.ie5's attributes to include system, hidden, %profile%\appdata\local\microsoft\windows\history\history.ie5's attributes to include system, hidden.
Creates a new process to perform certain actions. The original file c:\users\jojo\desktop\andylau1064g.exe creates the new process as %system directory%\cmd.exe.
The sample deletes the original file to limit forensic evidence and avoid analysis. The process name is the spawned process %system directory%\cmd.exe.

QVM360
发表于 2020-4-6 19:53:07 | 显示全部楼层
ESET MISS
AlphaRabbit
头像被屏蔽
 楼主| 发表于 2020-4-6 23:53:11 | 显示全部楼层
本帖最后由 AlphaRabbit 于 2020-4-7 00:24 编辑
54ss 发表于 2020-4-6 19:41
BEST 扫描 MISS
双击 暂时也没反应……
先上报再说VT上八个月前就有了…… 还没几家报

你知道么?八个月前是我上报的。
当时只有几家的机器学习检测到威胁(例如赛门铁克

只不过这次我想把这玩意发出来了233

54ss
发表于 2020-4-7 02:13:12 | 显示全部楼层
本帖最后由 54ss 于 2020-4-7 02:37 编辑
AlphaRabbit 发表于 2020-4-6 23:53
你知道么?八个月前是我上报的。
当时只有几家的机器学习检测到威胁(例如赛门铁克

BD沙盒也还靠得住
更新
刚才我又测了一遍
BD还没拉黑
但是双击有行为了 还是逃不过主防
高级威胁防护已拦截一个恶意进程。进程路径: C:\Users\JOJO\Desktop\andylau1064g.exe.

貌似还有一个衍生物? 我不太确定是不是它释放的
实时防护检测到威胁。该文件已被删除。c:\users\jojo\appdata\local\packages\microsoft.microsoftedge_8wekyb3d8bbwe\ac\#!001\microsoftedge\cache\wj2x9wxb\eze[1].exe 是恶意软件 AI:Androm.34812.339D3F5517
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 04:50 , Processed in 0.141024 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表