我们遇到一个宏病毒难题，今天注册后无法在样本版发帖，怎么办？

cheatsoft

我们遇到一个宏病毒难题，今天注册后无法在样本版发帖，怎么办？

希望各位大侠帮忙~  

nmyh

你把样本文件打包上传到这里：https://www.lanzou.com
然后把分享地址回帖到这里，我去发一下

cheatsoft

样本下载地址:https://wws.lanzous.com/iKzwhgbszza 密码:72vr
今天出现的一个变体：下载:https://wws.lanzous.com/iMqOigbt9je 密码:bp11  密码不是我加的，这个无法被Email Spam拦截

症状，邮件发送的一个宏病毒doc文件，很多软件可以直接杀掉这个下载器，我的同事中了这个毒后下载到本机的病毒本体无法被查杀。
当病毒开始执行时会从中毒者的历史邮件中选择包含的地址列表，伪装成发件人显示名字，发大量名字对但是地址不对的历史邮件。

造成对我们和合作单位的困扰。

我当前只能用做邮件服务器Spam过滤，但是无法阻止外发。

我希望知道阻断原理和清除办法，手动和杀毒软件自动都可以。

目前只能靠邮件服务器的log的发件数量估计。

无法找到有效的阻止办法。


感谢各位大侠的帮助！

另外  Windows Defender  9月3日的病毒库可以查出来部分病毒 Trojan.Win32/Emotet.ARK|MTB，对变种无效。火绒和Trend Micro无法查出。

cheatsoft

nmyh 发表于 2020-9-3 20:07
你把样本文件打包上传到这里：https://www.lanzou.com
然后把分享地址回帖到这里，我去发一下

感谢您的帮助了！！

nmyh

已发，在这里：https://bbs.kafan.cn/thread-2190231-1-1.html

nmyh

估计你不能看到完整的帖子，转贴一下内容和图片。

【2楼】

BEST
Trojan.GenericKD.34461657

【3楼】

360安全卫士 kill 8x

miss Electronic report.doc
miss Sep-01-554133-2020.doc

【4楼】

样本变体下载这边解压密码错误

【5楼】

TS10x

【8楼】

这边已经入库了
报法
木马-Generic/Trojan.Scripted4
木马-Generic/Trojan.Script.ed4

【10楼】

kis样本清空

cheatsoft

感谢您的帮助，您真的很周到！

您好，我的问题是这个doc大部分都可以被查杀到，问题是下载后的病毒本体没有被查杀到。

另外我急需怎样发现、阻断和 清除办法。

特别是第二个变种 他是一个加密码的压缩文件，所以 Mail系统的Spam防护对它无效。

要是他们可以仔细看看我的原贴就好了

nmyh

cheatsoft 发表于 2020-9-3 21:55
到样本区发帖有啥要求呢？ 来这里的都是遇到困难的人~  注册后两个小时已经感觉很漫长了，又没法发帖到样本 ...

积分先到10看看，如果不行有可能就要到50了。

邮件服务器没弄过，不知道怎么阻断。

你说的第二个变种，估计是无解的，加密打包后的病毒文件，杀软是没有办法的。

cheatsoft

我看到您的转发了，感谢！！