查看: 2317|回复: 40
收起左侧

[病毒样本] exe样本5x

  [复制链接]
henry217
发表于 2020-8-23 18:04:53 | 显示全部楼层 |阅读模式
搬运自:malwarebazaar@川建国代{过}{滤}理人 @非正规ID 来抢沙发

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
川建国代理人
发表于 2020-8-23 19:07:30 | 显示全部楼层
本帖最后由 川建国代理人 于 2020-8-23 19:16 编辑

测试环境:windows10_consumer_editions_version_1909_updated_dec_2019_x64
样本一:
双击后试图写入某函数,但是进程失效
  1. static:
  2. []
复制代码
  1. 编译时间戳2020-08-21 13:45:12
  2. PEIDPE: compiler: Microsoft Visual C/C++(6.0)[libc]PE: linker: Microsoft Linker(6.0)[EXE32]
  3. 入口所在段.text
  4. 附加数据55866
  5. 入口点(OEP)0x6fa0
  6. 镜像基地址0x400000
复制代码


样本二:
双击后试图写入某函数,但是进程失效

  1. static:
  2. []
复制代码
  1. 编译时间戳2020-08-20 15:24:58
  2. PEIDPE: compiler: Microsoft Visual C/C++(2003)[libcmt]PE: linker: Microsoft Linker(7.10)[EXE32]
  3. 入口所在段.text
  4. 附加数据268627
  5. 入口点(OEP)0x15ef0
  6. 镜像基地址0x400000
复制代码


样本三:
试图寻找文件中的信息
  1. url
  2. http://www.pablovandermeer.nl
  3. url
  4. http://click.go2net.com/adpopup?site=%
  5. url
  6. http://link.exitdirect.com%
  7. url
  8. http://media18.fastclick.net%
  9. url
  10. http://www.dynamic-mp3.com
  11. url
  12. http://www.FreeSms4u.com%
  13. url
  14. http://www.rankyou.com%
复制代码
  1. 导入表HASHa7d146dd00c1364a9089a6ec81f1dfaa
  2. 编译时间戳2020-08-20 05:07:11
  3. PEIDPE: library: MFC(4.2)[-]PE: compiler: Microsoft Visual C++(6.0)[msvcrt]PE: linker: Microsoft Linker(6.0)[EXE32]
  4. 入口所在段.text
  5. 附加数据163238
  6. 入口点(OEP)0xcf94
  7. 镜像基地址0x400000
复制代码


样本四:双击后试图写入某函数,但是进程失效
  1. static:
  2. []
复制代码
  1. 编译时间戳2020-08-21 19:07:21
  2. PEIDPE: compiler: Microsoft Visual C/C++(6.0)[libcmt]PE: linker: Microsoft Linker(6.0)[EXE32]
  3. 入口所在段.text
  4. 附加数据1771
  5. 入口点(OEP)0x7350
  6. 镜像基地址0x400000
复制代码


样本五:
运用二进制函数加密被压缩的数据,运用代码混淆
section:

  1. size_of_data:
  2. "0x00012000"

  3. virtual_address:
  4. "0x0000e000"

  5. entropy:
  6. 7.018627904292123

  7. name:
  8. ".rsrc"

  9. virtual_size:
  10. "0x00011900"
复制代码
entropy:
  1. 7.018627904292123
复制代码

entropy:
  1. 0.5625
复制代码
  1. 导入表HASH66e689e19970729d0a74db98b4dbf30e
  2. 编译时间戳2020-08-21 02:05:07
  3. PEIDPE: library: MFC(4.2)[-]PE: compiler: Microsoft Visual C++(6.0)[msvcrt]PE: linker: Microsoft Linker(6.0)[EXE32]
  4. 入口所在段.text
  5. 附加数据50633
  6. 入口点(OEP)0x6d8e
  7. 镜像基地址0x400000
复制代码


除了三和五干了实际的事,剩下的都是引用错误函数的空文件

楼主顶一下

评分

参与人数 2人气 +2 收起 理由
pipixia1234 + 1 版区有你更精彩: )
非正规ID + 1 辛苦了建国

查看全部评分

αdmin
头像被屏蔽
发表于 2020-8-23 18:05:25 | 显示全部楼层
极宝全杀
川建国代理人
发表于 2020-8-23 18:07:33 | 显示全部楼层
智量V2.66高启发扫描Kill X2

还特意@我

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Kaspersky用户
发表于 2020-8-23 18:07:52 | 显示全部楼层
本帖最后由 Kaspersky用户 于 2020-8-23 18:11 编辑

Avira Free高启发状态下扫描均MISS
henry217
 楼主| 发表于 2020-8-23 18:08:23 | 显示全部楼层
川建国代理人 发表于 2020-8-23 18:07
智量V2.66高启发扫描Kill X2

智量翻车现场
liu237
发表于 2020-8-23 18:08:33 | 显示全部楼层
360missall
henry217
 楼主| 发表于 2020-8-23 18:09:47 | 显示全部楼层
本帖最后由 henry217 于 2020-8-23 18:11 编辑

McAfee:kill all(一雪前耻)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
mr_bean_forever + 1 威武

查看全部评分

henry217
 楼主| 发表于 2020-8-23 18:10:16 | 显示全部楼层

没联网?开个Avira引擎试试,顺便联网
liu237
发表于 2020-8-23 18:10:55 | 显示全部楼层
henry217 发表于 2020-8-23 18:10
没联网?开个Avira引擎试试,顺便联网

联网,未开伞
Kaspersky用户
发表于 2020-8-23 18:11:50 | 显示全部楼层
henry217 发表于 2020-8-23 18:10
没联网?开个Avira引擎试试,顺便联网

Avira本尊都跪了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 09:34 , Processed in 0.137481 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表