From Abuse.ch 样本包 60X

显示全部楼层 · 发表于 2021-2-9 09:43:11

QVM360 发表于 2021-2-9 09:23
ESET剩余3x，待会虚拟机双击

19c052186f7393e8c8a62ba6477d7c3f0ebdb8f40e5693af2a14e1b403197718.vbs会下载http://194.31.53.249/aj32.php，但服务器挂了

82f9c3e59b3c35efe1b62d00a9631ac570c4c618bc215945cda7e66c76ec8ce9.dll
使用rundll32(DllRegisterServer)加载后无行为

de114b145e4c5cb3cc86b09a6bcd545c8c2ee45f46e34c0d99ccf9712eb10eb6.xlsx连宏都没有

显示全部楼层 · 发表于 2021-2-9 09:54:32

本帖最后由 hsks 于 2021-2-9 10:00 编辑

QVM360 发表于 2021-2-9 09:43
19c052186f7393e8c8a62ba6477d7c3f0ebdb8f40e5693af2a14e1b403197718.vbs会下载http://194.31.53.249/aj3 ...

https://bazaar.abuse.ch/sample/8 ... 45cda7e66c76ec8ce9/

dll给的标签是#Trickbot

但Anyrun报No threat detected

不清楚是不是恶意

显示全部楼层 · 发表于 2021-2-9 09:58:10

本帖最后由 sichuanwenxuan 于 2021-2-9 10:02 编辑

WD扫描杀了38个，剩余22个。

双击剩余的4个应用程序，全杀。

显示全部楼层 · 发表于 2021-2-9 10:08:01

hsks 发表于 2021-2-9 09:54
https://bazaar.abuse.ch/sample/8 ... 45cda7e66c76ec8ce9/

dll给的标签是#Trickbot

Trickbot可能要重启后才有行为，或者是把你的ip记录下来了，没进行其他大动作

显示全部楼层 · 发表于 2021-2-9 10:22:25

本帖最后由多巴胺于 2021-2-9 10:27 编辑

毒霸 kill 46X 剩余16X

显示全部楼层 · 发表于 2021-2-9 10:41:46

蜘蛛39X

显示全部楼层 · 发表于 2021-2-9 10:41:55

一小时后重新启动虚拟机测试WD。监控已经杀掉刚才双击的四个应用程序。剩余15个。

显示全部楼层 · 发表于 2021-2-9 10:47:40

天擎59
剩de11的那个

显示全部楼层 · 发表于 2021-2-9 10:56:56

82f9c3e59b3c35efe1b62d00a9631ac570c4c618bc215945cda7e66c76ec8ce9这个样本我粗略的看了一眼
在主流程里有ollvm的混淆，具体流程还没分析完，但是确实是挺可疑的

显示全部楼层 · 发表于 2021-2-9 11:33:47

ESET监控清除56个右键扫描清除1个，最后用智量补杀清除2个，共计59个，剩余1个：de114b145e4c5cb3cc86b09a6bcd545c8c2ee45f46e34c0d99ccf9712eb10eb6.xlsx ，放入虚拟机中运行，结果没发现异常

[病毒样本] From Abuse.ch 样本包 60X

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块