查看: 2305|回复: 12
收起左侧

[病毒样本] 阿里云分享病毒样本提取和正体

[复制链接]
hiphoper
发表于 2022-8-13 09:44:18 | 显示全部楼层 |阅读模式
我昨天在《公理邊緣》正體中文模組 - CodeBay.IN下游戏汉化补丁,疑似被映像劫持到其他网站Send Large Files - Free Secure File Transfer - TransferNow (that-soft.com)下载到了病毒,右键火绒杀毒扫描提示正常,运行EXE时提示病毒,幸好被火绒拦截了,附上安全日志:详细经过请看感谢火绒拯救了我才重装的系统,运行下载程序需谨慎!_国内杀毒软件_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)
样本被我上传到阿里云网盘: https://www.aliyundrive.com/s/rZXhbZrL9Cr提取码: rg79
火绒提取样本解压密码是bbs.kafan.cn,另外一个是1234,以上。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
swizzer
发表于 2022-8-13 09:48:25 | 显示全部楼层
本帖最后由 swizzer 于 2022-8-13 09:49 编辑









ESET


  1. 日志
  2. E:\Downloads\#Samples\2022-08-13\setup.exe > INNO > {tmp}\helper.dll - Win32/GenKryptik.FYMJ 特洛伊木马 的变量 - 已通过删除清除 [1]
复制代码


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
hiphoper
 楼主| 发表于 2022-8-13 09:55:59 | 显示全部楼层

弱弱问一下,我10年前的dell 4120用火绒+智量跑得动不?
北清
发表于 2022-8-13 10:09:52 | 显示全部楼层
360 KILL ALL

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
swizzer
发表于 2022-8-13 10:16:04 | 显示全部楼层
hiphoper 发表于 2022-8-13 09:55
弱弱问一下,我10年前的dell 4120用火绒+智量跑得动不?

大概跑得动。不过我个人不建议同时安装多款安全软件
hiphoper
 楼主| 发表于 2022-8-13 10:21:06 | 显示全部楼层
swizzer 发表于 2022-8-13 10:16
大概跑得动。不过我个人不建议同时安装多款安全软件

嗯嗯,多谢建议,我还是继续单奔火绒吧,不卡省心够用。
Shake2333
发表于 2022-8-13 10:56:16 | 显示全部楼层
MES 双击杀衍生物
自适应威胁防护已修复 C:\Users\Test\AppData\Local\Temp\is-ER9J1.tmp\helper.dll 文件,因为其信誉 (已知恶意文件) 低于配置的清理阈值。
分析器/检测程序
产品名称        McAfee Endpoint Security
产品版本        10.7.0.3590
McAfee GTI 查询        是
功能名称        On-Execute Scan

威胁
执行的操作        清理
威胁类别        检测到恶意软件
威胁事件 ID        35107
威胁已被处理        是
威胁名称        ATP/Suspect!638681d437ef
威胁严重性        严重
威胁时间戳        2022年8月13日 10:41 AM
威胁类型        特洛伊木马程序


源访问时间        2022年8月13日 10:41 AM
源创建时间        2022年8月13日 10:41 AM
源文件路径        C:\Users\Test\AppData\Local\Temp\is-JG2PQ.tmp
源文件大小        3196416
源修改时间        2022年8月13日 10:41 AM
源进程名称        setup.tmp

目标
目标哈希        ce70b8f8ae1580866cbc26695cba81cc
目标名        helper.dll
目标路径        C:\Users\Test\AppData\Local\Temp\is-ER9J1.tmp
目标进程名        helper.dll

其他
媒介类型        本地系统
检测消息        自适应威胁防护检测

rogersg
发表于 2022-8-13 11:08:47 | 显示全部楼层
本帖最后由 rogersg 于 2022-8-13 11:13 编辑

Kasperky
1223[1].exe - UDS:DangerousObject.Multi.Generic
1123[1].exe - UDS:DangerousObject.Multi.Generic
123[1].exe - UDS:DangerousObject.Multi.Generic
SlIr4xtGO.exe - UDS:DangerousObject.Multi.Generic
U4fWWHuzf.exe - UDS:DangerousObject.Multi.Generic
1eVI8khid.exe - UDS:DangerousObject.Multi.Generic

双击运行setup.exe
  1. Event: Malicious object detected
  2. Application: instaaleer Setup
  3. User: DESKTOP-PH3MU9R\Admin
  4. User type: Active user
  5. Component: System Watcher
  6. Result description: Detected
  7. Type: Trojan
  8. Name: PDM:Trojan.Win32.Generic
  9. Threat level: High
  10. Object type: Process
  11. Object path: c:\users\admin\desktop\fake_《公理邊緣》正體中文模組
  12. Object name: setup.exe
  13. Reason: Databases
  14. Databases release date: Today, 8/13/2022 9:35:00 AM
复制代码
  1. Event: Malicious object detected
  2. User: DESKTOP-PH3MU9R\Admin
  3. User type: Active user
  4. Application name: setup.tmp
  5. Application path: C:\Users\Admin\AppData\Local\Temp\is-0HFNQ.tmp
  6. Component: File Anti-Virus
  7. Result description: Detected
  8. Type: Trojan
  9. Name: Trojan-Downloader.Win32.Satacom.kz
  10. Precision: Exactly
  11. Threat level: High
  12. Object type: File
  13. Object name: helper.dll
  14. Object path: C:\Users\Admin\AppData\Local\Temp\is-QJQ3V.tmp
  15. MD5: CE70B8F8AE1580866CBC26695CBA81CC
  16. Reason: Databases
  17. Databases release date: Today, 8/13/2022 9:35:00 AM
复制代码
hiduwHUE
头像被屏蔽
发表于 2022-8-13 12:24:58 | 显示全部楼层
kis 提取样本 kill 6 miss Setup.exe ,ksn未知
另一个压缩包,miss txt,kill压缩包解压出来的exe

莫求
发表于 2022-8-15 09:06:42 | 显示全部楼层
有没有大佬分流一下下?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 07:16 , Processed in 0.139865 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表