查看: 1107|回复: 10
收起左侧

[病毒样本] #Exe file containing malicious behavior# (2020-8-22)

[复制链接]
川建国代理人
发表于 2020-8-22 17:52:21 | 显示全部楼层 |阅读模式
https://app.any.run/tasks/5460cb36-71f1-407a-9556-934ee6e470b5/ 搬运
https://any.run/report/a543e5f7fe04e8e9a92cc39adc46f4570041466c3d5c13b3531039c2d15cb4d8/5460cb36-71f1-407a-9556-934ee6e470b5 文本资源策划
若运行请修改后缀为EXE
蓝奏云:https://www.lanzoux.com/iCRz5fxf0oh
IOC:
  1. Main object- "HWID GET.exe"
  2.         sha256        a543e5f7fe04e8e9a92cc39adc46f4570041466c3d5c13b3531039c2d15cb4d8       
  3.         sha1        b4cf75aa065f13f869fb7da6da0c1554ce7bb714       
  4.         md5        3fa863ac683441534f12188475e6adbf       
  5. Dropped executable file
  6.         sha256        C:\Users\admin\AppData\Local\Temp\Zmaqscrbjldwat.exe        c3414782852c4d289888b83e2a8ab43eecba48a252b10cbb2c4d360cdb65ef06       
  7.         sha256        C:\Users\admin\AppData\Local\Temp\Zfyraylms.exe        673fc688b8ad2433dddbc9686dd27dc5cf56fa63cf6b85276e040a871256ae32       
  8.         sha256        C:\Users\admin\AppData\Local\Temp\Tllv.exe        270b36eb59df18a7daaf5311860ce76ac095192ad80b0837ce2f6b2a96e5f29a       
  9. DNS requests
  10.         domain        pastebin.com       
  11.         domain        hekel.ddns.net       
  12. Connections
  13.         ip        91.109.190.7       
  14.         ip        104.23.99.190       
复制代码


TEXT  ERPORT:
  1. General Info
  2. File name
  3. HWID GET.exe
  4. Full analysis https://app.any.run/tasks/5460cb36-71f1-407a-9556-934ee6e470b5
  5. Verdict Malicious activity
  6. Analysis date 8/22/2020, 09:59:53
  7. OS: Windows 7 Professional Service Pack 1 (build: 7601, 32 bit)
  8. Tags: trojan rat asyncrat
  9. Indicators:     

  10. MIME: application/x-dosexec
  11. File info: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
  12. MD5
  13. 3FA863AC683441534F12188475E6ADBF
  14. SHA1
  15. B4CF75AA065F13F869FB7DA6DA0C1554CE7BB714
  16. SHA256
  17. A543E5F7FE04E8E9A92CC39ADC46F4570041466C3D5C13B3531039C2D15CB4D8
  18. SSDEEP
  19. 1536:W1VIRMWFVABF4CQUQVP/DMPY44JXYVN5JR48PPIX:W1VIRMWFVFCQLP/DMBJXPPIX
复制代码


a233
发表于 2020-8-22 17:53:47 | 显示全部楼层
Avast
Win32:RATX-gen [Trj]
xiuzhiguo
发表于 2020-8-22 17:59:41 | 显示全部楼层
eset报木马释放器
OVS
发表于 2020-8-22 18:03:09 | 显示全部楼层
kis   mr2  kill

  1. C:\Users\123\Desktop\HWID GET.bin\HWID GET.bin\crs_0001\crs_0001\confuserExtractedData;检测到;检测到恶意对象;HEUR:Backdoor.MSIL.Crysan.gen;机器学习;文件;C:\Users\123\Desktop\HWID GET.bin\HWID GET.bin//crs_0001//crs_0001/;confuserExtractedData;检测到;木马程序;高;启发式分析;DESKTOP-2051LJ2\123;活动用户;;;智能查杀;;;;3FA863AC683441534F12188475E6ADBF;今天,2020/8/22 18:02;事件 :        检测到恶意对象
  2. 用户 :        DESKTOP-2051LJ2\123
  3. 用户类型 :        活动用户
  4. 组件 :        智能查杀
  5. 结果 :        检测到
  6. 结果说明 :        检测到
  7. 类型 :        木马程序
  8. 名称 :        HEUR:Backdoor.MSIL.Crysan.gen
  9. 精确度 :        启发式分析
  10. 威胁级别 :        高
  11. 对象类型 :        文件
  12. 对象名称 :        confuserExtractedData
  13. 对象路径 :        C:\Users\123\Desktop\HWID GET.bin\HWID GET.bin//crs_0001//crs_0001/
  14. MD5 :        3FA863AC683441534F12188475E6ADBF
  15. 原因 :        机器学习
复制代码
浪里个浪9527
头像被屏蔽
发表于 2020-8-22 18:31:44 | 显示全部楼层
360TS 扫描miss  自动上报云分析

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
intherain
发表于 2020-8-22 18:55:27 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
非正规ID
发表于 2020-8-22 19:07:01 | 显示全部楼层
McAfee 扫描kill

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
救命稻草
发表于 2020-8-22 19:54:11 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Nocria
发表于 2020-8-22 19:58:54 | 显示全部楼层
心醉咖啡
发表于 2020-8-23 08:14:46 | 显示全部楼层
毒霸云鉴定后
  1. 扫描时间:[2020-08-23 08:14:17]
  2. 扫描用时:[00:00:03]
  3. 扫描类型:自定义查杀
  4. 扫描文件总数:1
  5. 扫描速度:1文件/秒
  6. 发现威胁:1个
  7. 清除威胁:1个
  8. =============================================
  9. [2020-08-23 08:14:24]
  10. 威胁:e:\浏览器下载\hwid get.bin\hwid get.bin
  11. 类型:win32.hack.undef.(kcloud)
  12. 处理方式:删除

复制代码
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 20:50 , Processed in 0.126514 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表