搜索
查看: 441|回复: 11
收起左侧

[病毒样本] #Qbot (2020-04-13)

[复制链接]
QVM360
发表于 2020-4-13 08:49:27 | 显示全部楼层 |阅读模式
CHURP
发表于 2020-4-13 08:49:51 | 显示全部楼层
本帖最后由 CHURP 于 2020-4-13 08:51 编辑

ESET
  1. 时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
  2. 2020/4/13 8:50:20;文件系统实时防护;文件;D:\样本\444444 - upx.exe;Win32/Kryptik.HCQT 特洛伊木马 的变种;通过删除清除;DESKTOP-ANQ8VF5\23012;在应用程序新建的文件上发生事件: F:\Bandizip\Bandizip.exe (796EE37271EA3605459ECAACE4E3130C96CB11D3).;D8DCF5CCACF7400287890707A1ED72C221A7ACF5;2020/4/13 8:32:49
  3. 2020/4/13 8:50:27;文件系统实时防护;文件;D:\样本\444444.exe;Win32/Kryptik.HCQT 特洛伊木马 的变种;通过删除清除;DESKTOP-ANQ8VF5\23012;在应用程序新建的文件上发生事件: F:\Bandizip\Bandizip.exe (796EE37271EA3605459ECAACE4E3130C96CB11D3).;6A9995B3461862DC7F2D6B7F580B357612486184;2020/4/13 7:11:45
复制代码

swizzer
发表于 2020-4-13 08:55:24 | 显示全部楼层
本帖最后由 swizzer 于 2020-4-13 08:58 编辑

智量
A杀原文件,B杀upx

--------------------------------
HMPA双杀
  1. Mitigation   HeapHeapProtect
  2. Timestamp    2020-04-13T00:55:48

  3. Platform     10.0.17763/x64 v867 06_9e%
  4. PID          6580
  5. WoW          x86
  6. Feature      003D0A30000001A2
  7. Application  E:\下载\Compressed\444444 - upx.exe
  8. Created      2020-04-13T00:55:34
  9. Description  444444 - upx.exe

  10. Callee Type  AllocateVirtualMemory
  11.              C:\Windows\SysWOW64\advapi32.dll

  12. Shellcode (HHA) (0x00038000 bytes)
  13. Owner of CALLER: (anonymous; allocated by 00401066, 444444 - upx.exe)
复制代码
  1. Mitigation   HeapHeapProtect
  2. Timestamp    2020-04-13T00:55:44

  3. Platform     10.0.17763/x64 v867 06_9e%
  4. PID          8
  5. WoW          x86
  6. Feature      003D0A30000001A2
  7. Application  E:\下载\Compressed\444444.exe
  8. Created      2020-04-13T00:55:34
  9. Description  444444.exe

  10. Callee Type  AllocateVirtualMemory
  11.              C:\Windows\SysWOW64\advapi32.dll

  12. Shellcode (HHA) (0x00038000 bytes)
  13. Owner of CALLER: (anonymous; allocated by 00401066, 444444.exe)

复制代码



wjy19800315
发表于 2020-4-13 08:55:35 | 显示全部楼层
Avira


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Jirehlov1234
发表于 2020-4-13 08:58:23 | 显示全部楼层
#Qbot 不是勒索
QVM360
 楼主| 发表于 2020-4-13 08:58:37 | 显示全部楼层
swizzer 发表于 2020-4-13 08:55
智量
A杀原文件,B杀upx

你们那什么时候开学?
swizzer
发表于 2020-4-13 08:59:04 | 显示全部楼层
QVM360 发表于 2020-4-13 08:58
你们那什么时候开学?

我们高二20号开学
QVM360
 楼主| 发表于 2020-4-13 09:01:27 | 显示全部楼层
QVM360
 楼主| 发表于 2020-4-13 09:02:28 | 显示全部楼层
swizzer 发表于 2020-4-13 08:59
我们高二20号开学

我们要到5月11日
Jirehlov1234
发表于 2020-4-13 09:07:50 | 显示全部楼层

自己仔细看报告,哪里触发了勒索标签。

anyrun的自动机触发勒索标签有三种可能
1. 像勒索软件一样重命名文件;
2. 创建可能的勒索信;
3. 其他标签连带触发(比如#FTCODE)

此处是第二种,但那个明显不是勒索信
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 晋ICP备20004298号-1 ) GMT+8, 2020-7-9 06:24 , Processed in 0.120133 second(s), 17 queries .

快速回复 返回顶部 返回列表