具有高度反分析的样本

Anan20060615

inetinfo.exe
在学校里通过U盘大肆传播，鄙人被指派解决这玩意（虽然没什么危害）。但这样本用了好多方法反虚拟机，所以恳请诸位大佬来分析病毒行为。
这玩意最奇怪的地方在于用各种方法疯狂逃检测和分析，而不是免杀和破坏

已知的特点和行为如下：
1.通过U盘传播，挂在后台监视U盘，一旦有U盘插入就会隐藏其内的文件夹，并复制本体到U盘内然后改名伪装（智商检测式传播）
2.复制自身到Program Data文件夹下，并添加自启
3.释放多个文件，包括但不限于附件中的kis.exe，并全部添加自启（如果测试时你的自启里面只有本体那肯定是被反虚拟机了）
4.本体和释放物都能检测虚拟机，VMware，HyperV和微步的云沙箱都被检测了（劣质微步）

实机上似乎没有明显的破坏行为，欢迎各位大佬实机双击。360和卡巴杀
微步 https://s.threatbook.cn/report/file/f56861ce6cd6949f5e9befae27f491539c3eccf02907dd2a2482f954e2a07d8c/?sign=history&env=win7_sp1_enx64_office2013
（看看就行了，微步沙箱被检测了）
附件包括了释放物kis.exe，但实际释放物不止于此。另外学校里的电脑我用组策略保护了，暂时没什么大碍

奶牛快传
蓝奏云
密码 virus

正在缓冲

Avast kill all
Win32:Malware-gen        Win32:Trojan-gen

Intezer Analyze:
inetinfo.exe：https://analyze.intezer.com/anal ... 5-aa4b-c9a4801cbe13
kis.exe：https://analyze.intezer.com/anal ... 8-83c7-fe69f4389f3e

aboringman

360：All

1. 2021-09-20 18:47:57     恶意软件(G_Trojan.Generic.003dbae5)MD5:ec677cdc1bb8f638dd5df4595258eee1   已删除此文件，如果您发现误删，可从隔离区恢复此文件。        d:\360极速浏览器下载\test\inetinfo.exe
   
2. 2021-09-20 18:47:57     恶意软件(QVM19.1.D33F.Malware.Gen)MD5:90a2d55d9a152fa8863176cc19aec821    已删除此文件，如果您发现误删，可从隔离区恢复此文件。        d:\360极速浏览器下载\test\kis.exe

复制代码

有点迟钝，现在反应过来了，这个不就是FakeFolder吗。。。。。。

把还原软件关掉，用杀毒软件全盘查杀，不就能够解决么。。。。。。

ESET：1

1. inetinfo.exe：Win32/Packed.Themida.ALQ 特洛伊木马 的变量

复制代码

Anan20060615

aboringman 发表于 2021-9-20 18:48
360：All

病毒本身够蔡我主要是好奇一个破坏力几乎为0的玩意搞这么多反检测和放一大堆东西干什么

心心相印

红伞清空了。

ANY.LNK

MS Defender：
Backdoor:Win32/Bladabindi!ml>inetinfo.exe
Trojan:Win32/AgentTesla!ml>kis.exe
两个都分析了一段时间才报告

swizzer

Panda 1x
Trj/CI.A

剩余1x Comodo VirusScope击杀。

anthonyqian

卡巴 都是 HEUR:Trojan.Win32.Generic

1031184370

eset扫描杀in的exe。剩下1个kis miss

846472713

360 3.0