6x exe 样本

henry217

下载链接：奶牛
样本经过筛选，来自malwarebazaar
avast 4x，沙盒运行无反应
f-s s：https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2189592&pid=47105115

川建国代理人

henry217 发表于 2020-8-25 19:50
F-SECURE 文件监控kill 3x，miss （1），（3），（6）.其中（1），（6）可能为无效样本，双击无法运行。（3 ...

测试环境：windows10_consumer_editions_version_1909_updated_dec_2019_x64
样本一:
双击后试图写入某函数，但是进程失效

1. static:
   
2. []
   
3. 
   
4. [color=rgb(51, 102, 153) !important]复制代码
   
5. 编译时间戳2020-08-21 13:45:12
   
6. PEIDPE: compiler: Microsoft Visual C/C++(6.0)[libc]PE: linker: Microsoft Linker(6.0)[EXE32]
   
7. 入口所在段.text
   
8. 附加数据55866
   
9. 入口点(OEP)0x6fa0
   
10. 镜像基地址0x400000

复制代码

样本六：

1. 导入表HASHaa7cd19b76db4c72fc48d86307e1786b
   
2. 编译时间戳2020-08-21 13:45:12
   
3. PEIDPE: compiler: Microsoft Visual C/C++(6.0)[libc]PE: linker: Microsoft Linker(6.0)[EXE32]
   
4. 入口所在段.text
   
5. 附加数据84186
   
6. 入口点(OEP)0x6fa0
   
7. 镜像基地址0x400000

复制代码

我这里双击没有产生任何进程

小丁香

卡巴 Kill 2个

a233

Avast扫描+执行清空

川建国代理人

智量V2.66高启发扫描Kill X4 Miss样本一

浪里个浪9527

360 Total Security扫描日志

扫描时间：2020-08-25 08:47:06
扫描用时：00:00:08
扫描项目总数：6
威胁总数：2
处理威胁数：2

扫描选项
----------------------
扫描压缩包：否
常规引擎设置：鲲鹏引擎, 小红伞引擎

扫描内容
----------------------
C:\Users\Administrator\Desktop\6x\

扫描结果
======================
高风险项目
----------------------
C:\Users\Administrator\Desktop\6x\sample_ (2).exe 0E13F8A76BC656BB0334BF540C4830FD DF39D99B08659E103BD2995849A984E33D081725 70,3,2,4,280,1,256, || 0_0_1  [360云查杀引擎][Generic/Trojan.PSW.374][隔离文件][已处理]
C:\Users\Administrator\Desktop\6x\sample_ (5).exe 994AA012D8ABCBFE2109542F9B0171C7 C0BBE4C3441361F0E7466FD467AE2F1594C370B6 70,3,2,4,280,1,256, || 0_0_1  [360云查杀引擎][Win32/Backdoor.4e6][隔离文件][已处理]

mr_bean_forever

McAfee 扫描Kill all

OVS

kis  mr2  4X

1. 检测到的对象 ( 文件 ) 已删除;C:\Users\123\Desktop\6x\sample_ (2).exe;UDS:Trojan.MSIL.Taskun.gen;文件;木马程序;今天，2020/8/25 8:59;事件 :        检测到的对象 ( 文件 ) 已删除
   
2. 对象 :        C:\Users\123\Desktop\6x\sample_ (2).exe
   
3. 名称 :        UDS:Trojan.MSIL.Taskun.gen
   
4. 对象类型 :        文件
   
5. 类型 :        木马程序

复制代码

1. 检测到的对象 ( 文件 ) 已删除;C:\Users\123\Desktop\6x\sample_ (3).exe;UDS:Trojan-Banker.Win32.Emotet.gckp;文件;木马程序;今天，2020/8/25 8:59;事件 :        检测到的对象 ( 文件 ) 已删除
   
2. 对象 :        C:\Users\123\Desktop\6x\sample_ (3).exe
   
3. 名称 :        UDS:Trojan-Banker.Win32.Emotet.gckp
   
4. 对象类型 :        文件
   
5. 类型 :        木马程序

复制代码

1. 检测到的对象 ( 文件 ) 已删除;C:\Users\123\Desktop\6x\sample_ (4).exe;UDS:Trojan-Banker.Win32.Emotet.gen;文件;木马程序;今天，2020/8/25 8:59;事件 :        检测到的对象 ( 文件 ) 已删除
   
2. 对象 :        C:\Users\123\Desktop\6x\sample_ (4).exe
   
3. 名称 :        UDS:Trojan-Banker.Win32.Emotet.gen
   
4. 对象类型 :        文件
   
5. 类型 :        木马程序

复制代码

1. 检测到的对象 ( 文件 ) 已删除;C:\Users\123\Desktop\6x\sample_ (5).exe;Backdoor.Win32.Emotet.cjsb;文件;木马程序;今天，2020/8/25 8:59;事件 :        检测到的对象 ( 文件 ) 已删除
   
2. 对象 :        C:\Users\123\Desktop\6x\sample_ (5).exe
   
3. 名称 :        Backdoor.Win32.Emotet.cjsb
   
4. 对象类型 :        文件
   
5. 类型 :        木马程序

复制代码

猥琐大叔

WAR314159

ESET KILL 5X(高启发)

1. 时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
   
2. 2020/8/25 9:45:51;文件系统实时防护;文件;C:\UsersppData\Local\Temp\BNZ.5f446d4b3408fb\sample_ (3).exe;Win32/GenKryptik.ERCV 特洛伊木马 的变种;通过删除清除;DESKTOP-PTTR5MT;在应用程序新建的文件上发生事件: C:\Program Files\Bandizip\Bandizip.exe (A9BD518A10AF92E3BB185B82C24118DA30BCCB01).;D21B03E565BA52CF0A36A6BA3DA8A0109DCC1215;2020/8/25 7:46:49
   
3. 2020/8/25 9:45:51;文件系统实时防护;文件;C:\Users\\AppData\Local\Temp\BNZ.5f446d4b3408fb\sample_ (6).exe;Win32/Kryptik.HFSD 特洛伊木马 的变种;通过删除清除;DESKTOP-PTTR5MT\;在应用程序新建的文件上发生事件: C:\Program Files\Bandizip\Bandizip.exe (A9BD518A10AF92E3BB185B82C24118DA30BCCB01).;5AED706BBD5F33DA847A93DD14170D6EB23369CC;2020/8/25 7:46:49
   
4. 2020/8/25 9:45:51;文件系统实时防护;文件;C:\Users\ppData\Local\Temp\BNZ.5f446d4b3408fb\sample_ (5).exe;Win32/Emotet.CD 特洛伊木马;通过删除清除;DESKTOP-PTTR5MT;在应用程序新建的文件上发生事件: C:\Program Files\Bandizip\Bandizip.exe (A9BD518A10AF92E3BB185B82C24118DA30BCCB01).;C0BBE4C3441361F0E7466FD467AE2F1594C370B6;2020/8/25 7:46:49
   
5. 2020/8/25 9:45:52;文件系统实时防护;文件;C:\UserAppData\Local\Temp\BNZ.5f446d4b3408fb\sample_ (4).exe;ML/Augur 特洛伊木马;通过删除清除;DESKTOP-PTTR5在应用程序新建的文件上发生事件: C:\Program Files\Bandizip\Bandizip.exe (A9BD518A10AF92E3BB185B82C24118DA30BCCB01).;913A48197D44F5A3D08A0F962808971F8AB683E6;2020/8/25 7:46:49
   
6. 2020/8/25 9:45:52;文件系统实时防护;文件;C:\Users\AppData\Local\Temp\BNZ.5f446d4b3408fb\sample_ (2).exe;Win32/Kryptik.HFSI 特洛伊木马 的变种;通过删除清除;DESKTOP-PTTR5MT\在应用程序新建的文件上发生事件: C:\Program Files\Bandizip\Bandizip.exe (A9BD518A10AF92E3BB185B82C24118DA30BCCB01).;DF39D99B08659E103BD2995849A984E33D081725;2020/8/25 7:46:47
   

复制代码

sichuanwenxuan

WD扫描后剩下3和4两个。