EXE样本（2022-02-04）

huorong

此样本来自Malwarebazaar
样本质量：一般
解压密码 infected
本帖的附件具有威胁您的计算机安全的可能，并且没有任何安全软件能够100%保证防护住样本，请勿实机测试！

----------------------------------------
360杀毒 5.0  miss
腾管   miss

swizzer

HMPA
killed.

1. Mitigation   Kernel32Trap
   
2. Timestamp    2022-02-04T07:08:13
   
3. 
   
4. Platform     10.0.19043/x64 v907 06_8d%
   
5. PID          5484
   
6. WoW          x86
   
7. Feature      007D0A30000000A2
   
8. Application  C:\Users\Dolphiner\Downloads\8a889c16a6262cc626ff26aa2da7545c5ee5a8165fb325f3ba4c0cf31c93f28e\8a889c16a6262cc626ff26aa2da7545c5ee5a8165fb325f3ba4c0cf31c93f28e.exe
   
9. Created      2022-02-04T07:08:07
   
10. Description  8a889c16a6262cc626ff26aa2da7545c5ee5a8165fb325f3ba4c0cf31c93f28e.exe
    
11. 
    
12. Callee Type  LoadLibrary
    
13. 
    
14. Caller info: (anonymous; ybnalcewg.dll)+0x87C
    
15. Root owner module name : ybnalcewg.dll
    
16. 02E8087C  ba3a655a7f               MOV          EDX, 0x7f5a653a
    
17. 02E80881  8bc8                     MOV          ECX, EAX
    
18. 02E80883  e8eefeffff               CALL         0x2e80776
    
19. 02E80888  8945b4                   MOV          [EBP-0x4c], EAX
    
20. 02E8088B  ba78a0917f               MOV          EDX, 0x7f91a078
    
21. 02E80890  8b4dfc                   MOV          ECX, [EBP-0x4]
    
22. 02E80893  e8defeffff               CALL         0x2e80776
    
23. 02E80898  89459c                   MOV          [EBP-0x64], EAX
    
24. 02E8089B  ba2336e67f               MOV          EDX, 0x7fe63623
    
25. 02E808A0  8b4dfc                   MOV          ECX, [EBP-0x4]
    
26. 02E808A3  e8cefeffff               CALL         0x2e80776
    
27. 02E808A8  8945b0                   MOV          [EBP-0x50], EAX
    
28. 02E808AB  ba7f72bd7f               MOV          EDX, 0x7fbd727f
    
29. 02E808B0  8b4dfc                   MOV          ECX, [EBP-0x4]
    
30. 02E808B3  e8befeffff               CALL         0x2e80776
    
31. 02E808B8  8945ac                   MOV          [EBP-0x54], EAX
    
32. 
    
33. Code thumbprint:3e9da75f7085d19e170dd25f6c7d222253487d7e0648028b99f8a82e3c29d6c4
    
34. Number of used instructions: 0x00000010
    
35. OwnerModuleThumbprint: d5d8be6c24b848fc77bcf70fc81c0fc340d625ebc8584f25581fb4aa2b9d2f53
    
36. 
    
37. Stack Trace
    
38. #  Address  Module                   Location
    
39. -- -------- ------------------------ ----------------------------------------
    
40. 1  61D000ED hmpalert.dll             +0x400ed
    
41. 
    
42. 2  02E8087C (anonymous; ybnalcewg.dll)
    
43.             ba3a655a7f               MOV          EDX, 0x7f5a653a
    
44.             8bc8                     MOV          ECX, EAX
    
45.             e8eefeffff               CALL         0x2e80776
    
46.             8945b4                   MOV          [EBP-0x4c], EAX
    
47.             ba78a0917f               MOV          EDX, 0x7f91a078
    
48.             8b4dfc                   MOV          ECX, [EBP-0x4]
    
49.             e8defeffff               CALL         0x2e80776
    
50.             89459c                   MOV          [EBP-0x64], EAX
    
51.             ba2336e67f               MOV          EDX, 0x7fe63623
    
52.             8b4dfc                   MOV          ECX, [EBP-0x4]
    
53.             e8cefeffff               CALL         0x2e80776
    
54.             8945b0                   MOV          [EBP-0x50], EAX
    
55.             ba7f72bd7f               MOV          EDX, 0x7fbd727f
    
56.             8b4dfc                   MOV          ECX, [EBP-0x4]
    
57.             e8befeffff               CALL         0x2e80776
    
58.             8945ac                   MOV          [EBP-0x54], EAX
    
59. 
    

复制代码

846472713

• G DATA
• Malwarebytes
  

秋日之殇

事件: 检测到恶意对象
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: UDS:Backdoor.Win32.Androm.gen
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: 8a889c16a6262cc626ff26aa2da7545c5ee5a8165fb325f3ba4c0cf31c93f28e.exe
对象路径: D:\Browerdownload\Compressed\8a889c16a6262cc626ff26aa2da7545c5ee5a8165fb325f3ba4c0cf31c93f28e
MD5: 8EB39F6A81649423AF3B7D15AD658BAD
原因: 云保护

hyx2230

火绒扫描miss
智量kill

aboringman

Norton：

1. 文件名: 8a889c16a6262cc626ff26aa2da7545c5ee5a8165fb325f3ba4c0cf31c93f28e.exe
   
2. 威胁名称: Packed.NSISPacker!g10完整路径: D:\test\8a889c16a6262cc626ff26aa2da7545c5ee5a8165fb325f3ba4c0cf31c93f28e.exe
   
3. 
   
4. ____________________________
   
5. 
   
6. ____________________________
   
7. 
   
8. 
   
9. 在电脑上 
   
10. 2022/2/4 ( 15:20:17 )
    
11. 
    
12. 上次使用时间 
    
13. 2022/2/4 ( 15:22:17 )
    
14. 
    
15. 启动项 
    
16. 否
    
17. 
    
18. 已启动 
    
19. 否
    
20. 
    
21. 威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。
    
22. 
    
23. ____________________________
    
24. 
    
25. 
    
26. 8a889c16a6262cc626ff26aa2da7545c5ee5a8165fb325f3ba4c0cf31c93f28e.exe 威胁名称: Packed.NSISPacker!g10
    
27. 定位
    
28. 
    
29. 
    
30. 极少用户信任的文件
    
31. Norton 社区中有不到 5 名用户 使用了此文件。
    
32. 
    
33. 极新的文件
    
34. 该文件已在 不到 1 周 前发行。
    
35. 
    
36. 高
    
37. 此文件具有高风险。
    
38. 
    
39. 
    
40. ____________________________
    
41. 
    
42. 
    
43. https://bbs.kafan.cn/forum.php?mod=attachment&aid=MzI1NTk5OXxkZjdlOGNiNHwxNjQzOTU5Mjc3fDEwMDA1MDF8MjIyNjYwMA==
    
44. 已下载文件  从 bbs.kafan.cn
    
45. 来源: 外部介质
    
46. 
    
47. 8a889c16a6262cc626ff26aa2da7545c5ee5a8165fb325f3ba4c0cf31c93f28e.exe
    
48. 
    
49. ____________________________
    
50. 
    
51. 文件操作
    
52. 
    
53. 文件: D:\test\ 8a889c16a6262cc626ff26aa2da7545c5ee5a8165fb325f3ba4c0cf31c93f28e.exe 已删除
    
54. ____________________________
    
55. 
    
56. 
    
57. 文件指纹 - SHA:
    
58. 8a889c16a6262cc626ff26aa2da7545c5ee5a8165fb325f3ba4c0cf31c93f28e
    
59. 文件指纹 - MD5:
    
60. 8eb39f6a81649423af3b7d15ad658bad
    

复制代码

1. *标记：新的Packed报法

复制代码

netweb

ESET kill
Win32/Injector.ERBE

---

生如夏花之绚烂，死如秋叶之静美  
2022/2/4 下午4:30:07
bye  
From The Amazing Artifact：Netscape         

ANY.LNK

MS Defender：解压目前报告Trojan:Win32/Detplock

心心相印

md kill

wh759626933

BEST kill