搜索
查看: 995|回复: 16
收起左侧

[病毒样本] #XRED #Synaptics xred蠕虫

[复制链接]
神龟Turmi
发表于 2021-3-5 16:23:01 | 显示全部楼层 |阅读模式
样本:https://share.weiyun.com/IHfqjtAw
没有解压密码,请小心食用

valkyrie:https://valkyrie.comodo.com/get_ ... 2a82b7d631ac6ec4995
ioc:https://s.tencent.com/research/report/880.html

讲个有趣的小故事,
这个样本来自于某模拟飞行论坛,去掉蠕虫的壳子之后是个导航数据.
可能因为经常使用破解插件,大多数人都无视了安全软件的报毒,于是...
5天之后我拿到这个样本时,VT还是处女扫...



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
k2132
发表于 2021-3-5 16:35:36 | 显示全部楼层
智量  火绒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
BFAX
发表于 2021-3-5 17:47:42 | 显示全部楼层
本帖最后由 BFAX 于 2021-3-5 17:54 编辑

ESET
可能因为经常使用破解插件,大多数人都无视了安全软件的报毒

好家伙希望这些个电脑没事
这波啊,叫贪小便宜吃大亏

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
温馨小屋
发表于 2021-3-5 17:51:30 | 显示全部楼层
卡巴

Event: Malicious object detected
User: DESKTOP
User type: Active user
Component: Virus Scan
Result: Detected
Result description: Detected
Type: Trojan
Name: Backdoor.Win32.DarkKomet.hqxy
Precision: Exactly
Threat level: High
Object type: File
Object name: qw787_2102v2.exe
Object path: Z:\qw787_2102v2
MD5: 979F958D3A5F08EFC058FE85F58BAC6E
Reason: Databases
Databases release date: Today, 3/5/2021 2:16:00 PM
温馨小屋
发表于 2021-3-5 17:52:05 | 显示全部楼层
Filename: qw787_2102v2.exe
Threat name: Backdoor.GraybirdFull Path: C:\Users\NortonLTSC\AppData\Local\Temp\vmware-NortonLTSC\VMwareDnD\887bccae\qw787_2102v2.exe

____________________________

____________________________


On computers as of 
2021/3/5 at 17:49:12

Last Used 
2021/3/5 at 17:51:14

Startup Item 
No

Launched 
No

Threat type: Virus. Programs that infect other programs, files, or areas of a computer by inserting themselves or attaching themselves to that medium.


____________________________


qw787_2102v2.exe Threat name: Backdoor.Graybird
Locate


Very Few Users
Fewer than 5 users in the Norton Community have used this file.

Very New
This file was released less than 1 week  ago.

High
This file risk is high.


____________________________


Source: External Media

Source File:
qw787_2102v2.exe

____________________________

File Actions

File: C:\Users\NortonLTSC\AppData\Local\Temp\vmware-NortonLTSC\VMwareDnD\887bccae\ qw787_2102v2.exe Removed
File: C:\Users\NortonLTSC\AppData\Local\virtualstore\Windows\SysWOW64\ Installed.dat Restart Required
File: C:\Windows\SysWOW64\ Installed.dat Restart Required
____________________________

Registry Actions

Registry change: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\ ->AntiVirusDisableNotify:0 Repaired
Registry change: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\ ->UpdatesDisableNotify:0 Repaired
Registry change: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->ShowSuperHidden:1 Repaired
Registry change: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->ShowSuperHidden:1 Repaired
Registry change: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\ ->Start:2 Repaired
Registry change: HKEY_USERS\S-1-5-21-1723510940-3803559535-1434331253-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->ShowSuperHidden:1 Repaired
Registry change: HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\New Windows\ ->PopupMgr:yes Repaired
Registry change: HKEY_USERS\S-1-5-21-1723510940-3803559535-1434331253-1000\Software\Microsoft\Internet Explorer\New Windows\ ->PopupMgr:yes Repaired
Registry change: HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\New Windows\ ->PopupMgr:yes Repaired
____________________________


File Thumbprint - SHA:
5cf16b5f456f7a7142b719af75bcbbde7249e596e89b8fe7ccabb4ef7782fce9
File Thumbprint - MD5:
979f958d3a5f08efc058fe85f58bac6e
空伐Void
头像被屏蔽
发表于 2021-3-5 18:05:10 | 显示全部楼层
温馨小屋 发表于 2021-3-5 17:52
Filename: qw787_2102v2.exe
Threat name: Backdoor.GraybirdFull Path: C:%users\NortonLTSC\AppData\Loc ...

这是丢到了虚拟机跑了一遍?
温馨小屋
发表于 2021-3-5 18:08:30 | 显示全部楼层
空伐Void 发表于 2021-3-5 18:05
这是丢到了虚拟机跑了一遍?

我实机没装诺顿,而且我并没有双击这个病毒,以上清除内容都是诺顿自己脑补的。诺顿经常这么干,习惯了。
心心相印
发表于 2021-3-5 18:25:35 | 显示全部楼层
火绒、智量都清空了
决定式~定义
发表于 2021-3-5 18:43:11 | 显示全部楼层
温馨小屋 发表于 2021-3-5 18:08
我实机没装诺顿,而且我并没有双击这个病毒,以上清除内容都是诺顿自己脑补的。诺顿经常这么干,习惯了。

诺顿对于有些病毒扫描出来之后,好像会丢到自己的虚拟机里面运行看它有什么反应,有时候还会触发sonar,然鹅这一切都是在只扫描不运行的情况下的,真是神奇。
henry217
发表于 2021-3-5 18:57:13 | 显示全部楼层
温馨小屋 发表于 2021-3-5 18:08
我实机没装诺顿,而且我并没有双击这个病毒,以上清除内容都是诺顿自己脑补的。诺顿经常这么干,习惯了。

诺顿可能是行为分析一下,然后把该滚的滚一遍
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 湘ICP备2021004765号-1 ) GMT+8, 2021-4-21 08:50 , Processed in 0.124279 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表