12
返回列表 发新帖
楼主: swizzer
收起左侧

[可疑文件] Vmp Protected

[复制链接]
swizzer
 楼主| 发表于 2020-10-31 23:31:06 | 显示全部楼层
星河大帝 发表于 2020-10-31 23:29
UDS:Trojan-Ransom.Win32.Agent.azbt

这么快就分好类+给出变种编号了?
星河大帝
发表于 2020-10-31 23:32:26 | 显示全部楼层
swizzer 发表于 2020-10-31 23:31
这么快就分好类+给出变种编号了?

拉黑速度贼快
anthonyqian
发表于 2020-10-31 23:39:11 | 显示全部楼层
Shake2333 发表于 2020-10-31 23:09
eset scan miss,已上报

ESET 报 suspicious object
Shake2333
发表于 2020-10-31 23:40:28 | 显示全部楼层
anthonyqian 发表于 2020-10-31 23:39
ESET 报 suspicious object

eset响应速度可以啊
swizzer
 楼主| 发表于 2020-10-31 23:44:07 | 显示全部楼层
本帖最后由 swizzer 于 2020-10-31 23:45 编辑

话说有大佬能给出具体恶意行为吗···vmp不是我能对付的,运行样本也只是看到循环生成衍生物

@川建国代{过}{滤}理人 @a27573

评分

参与人数 1人气 +1 收起 理由
川建国代理人 + 1 收到

查看全部评分

munsimli
发表于 2020-11-1 02:09:43 | 显示全部楼层
fsp解壓殺,但卡exe
川建国代理人
发表于 2020-11-1 09:04:26 | 显示全部楼层
https://www.virustotal.com/gui/file/62b0b3ae7e628ef6549a577c416ca0c1cf2a2bff277345be339e3d554ee013c5/detection
35/72
这虚拟机探针贼恶心
WIN7/WIN10虚拟机都跑不出行为只能用实机+影子了
话说运行要.NET Framework 3.5,安装了大半年

在C盘释放衍生物的路径 c:\users\admini~1\appdata\local\temp\ogaecmlkhlan.exe
fileanalysispc和TrIDNet发现样本将读写内存保护更改为读执行

并通过路径为HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\ComputerName的文件查看了计算机名称
VMprotect壳被去除后运行

Defense Evasion Discovery
Anti-virus, Signature-based detection, Heuristic detection Process command-line parameters, Process monitoring
应该是为了防止同时设置所有RWX标志时被检测
判定为Trojan Wacatac恶意软件

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +9 收起 理由
swizzer + 6 版区有你更精彩: )
a27573 + 3 版区有你更精彩: )

查看全部评分

k2132
发表于 2020-11-1 09:44:31 | 显示全部楼层
火绒 kill  微点双击 kill

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
QWQxd
发表于 2020-11-1 17:10:01 | 显示全部楼层
管家miss
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 21:18 , Processed in 0.106400 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表