收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 BlackHole v2.0 exploit kit
12下一页
返回列表 发新帖
查看: 5180|回复: 14
收起左侧

[可疑文件] BlackHole v2.0 exploit kit

[复制链接]
firefox3
发表于 2013-1-18 14:25:54 | 显示全部楼层 |阅读模式
本帖最后由 firefox3 于 2013-1-18 14:34 编辑



















2013-01-18 14:20:12         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         修改文件         C:\USBsys.Bin
2013-01-18 14:20:12         C:\USBsys.Bin\E6557B0B22D.exe         修改文件         C:\USBsys.Bin\CDA8BDE3BE1D5CC
2013-01-18 14:19:58         C:\USBsys.Bin\E6557B0B22D.exe         Sandbox中运行         Partially Limited
2013-01-18 14:19:58         C:\USBsys.Bin\E6557B0B22D.exe         Sandbox中运行         Partially Limited
2013-01-18 14:19:56         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Users\Firefox3\AppData\Roaming\360se6\Application\360se.exe
2013-01-18 14:19:56         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Program Files\COMODO\COMODO Internet Security\cis.exe
2013-01-18 14:19:50         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Windows\System32\conhost.exe
2013-01-18 14:19:45         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Windows\System32\wininit.exe
2013-01-18 14:18:09         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Program Files\COMODO\COMODO Internet Security\cis.exe
2013-01-18 14:18:09         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         修改文件         C:\USBsys.Bin
2013-01-18 14:18:09         C:\USBsys.Bin\E6557B0B22D.exe         修改文件         C:\USBsys.Bin\CDA8BDE3BE1D5CC
2013-01-18 14:18:09         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Program Files\COMODO\COMODO Internet Security\cis.exe
2013-01-18 14:18:05         C:\USBsys.Bin\E6557B0B22D.exe         Sandbox中运行         Partially Limited
2013-01-18 14:18:05         C:\USBsys.Bin\E6557B0B22D.exe         Sandbox中运行         Partially Limited
2013-01-18 14:18:02         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Users\Firefox3\AppData\Roaming\360se6\Application\360se.exe
2013-01-18 14:17:54         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Windows\System32\wininit.exe
2013-01-18 14:17:54         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Windows\System32\conhost.exe
2013-01-18 14:16:24         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Windows\System32\SearchFilterHost.exe
2013-01-18 14:16:15         C:\USBsys.Bin\E6557B0B22D.exe         Sandbox中运行         Partially Limited
2013-01-18 14:16:15         C:\USBsys.Bin\E6557B0B22D.exe         Sandbox中运行         Partially Limited
2013-01-18 14:16:15         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Windows\System32\wininit.exe
2013-01-18 14:16:15         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Windows\System32\conhost.exe
2013-01-18 14:16:15         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Users\Firefox3\AppData\Roaming\360se6\Application\360se.exe
2013-01-18 14:16:15         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Program Files\COMODO\COMODO Internet Security\cis.exe
2013-01-18 14:16:15         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         修改文件         C:\USBsys.Bin
2013-01-18 14:16:15         C:\USBsys.Bin\E6557B0B22D.exe         修改文件         C:\USBsys.Bin\CDA8BDE3BE1D5CC
2013-01-18 14:14:46         C:\Windows\SysWOW64\svchost.exe         创建进程         C:\Users\Firefox3\AppData\Local\Temp\8255073.bat
2013-01-18 14:14:40         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Windows\SysWOW64\dllhost.exe
2013-01-18 14:14:40         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         修改文件         C:\USBsys.Bin
2013-01-18 14:14:40         C:\USBsys.Bin\E6557B0B22D.exe         修改文件         C:\USBsys.Bin\CDA8BDE3BE1D5CC
2013-01-18 14:14:24         C:\USBsys.Bin\E6557B0B22D.exe         Sandbox中运行         Partially Limited
2013-01-18 14:14:24         C:\USBsys.Bin\E6557B0B22D.exe         Sandbox中运行         Partially Limited
2013-01-18 14:14:20         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Program Files (x86)\Internet Explorer\iexplore.exe
2013-01-18 14:14:20         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Windows\System32\SearchFilterHost.exe
2013-01-18 14:14:14         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Program Files (x86)\SogouInput\6.3.0.8227\SogouCloud.exe
2013-01-18 14:14:14         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Users\Firefox3\AppData\Roaming\360se6\Application\360se.exe
2013-01-18 14:14:05         C:\Users\Firefox3\AppData\Local\Temp\007e198a.exe         修改文件         C:\$Recycle.Bin\S-1-5-21-4011447912-2747632329-2706482482-1000\$8afaebc7143eda5186b77f90d0ea2a8f
2013-01-18 14:14:05         C:\Users\Firefox3\AppData\Local\Temp\007e198a.exe         访问COM接口         LocalSecurityAuthority.Tcb
2013-01-18 14:14:05         C:\Windows\SysWOW64\cmd.exe         修改文件         C:\Users\Firefox3\AppData\Local\Temp\007e198a.exe
2013-01-18 14:14:05         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Windows\explorer.exe
2013-01-18 14:14:05         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         访问内存         C:\Program Files\VMware\VMware Tools\VMwareTray.exe
2013-01-18 14:14:03         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         Sandbox中运行         Partially Limited
2013-01-18 14:14:03         C:\Users\Firefox3\AppData\Local\Temp\007e4127.exe         Sandbox中运行         Partially Limited
2013-01-18 14:14:00         C:\Windows\system32\cmd.exe         Sandbox中运行         Partially Limited
2013-01-18 14:13:55         C:\Users\Firefox3\AppData\Local\Temp\007e198a.exe         访问内存         C:\Windows\explorer.exe
2013-01-18 14:13:53         C:\Users\Firefox3\AppData\Local\Temp\007e198a.exe         Sandbox中运行         Partially Limited
2013-01-18 14:13:49         C:\Windows\SysWOW64\svchost.exe         修改文件         C:\Users\Firefox3\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5
2013-01-18 14:13:49         C:\Windows\SysWOW64\svchost.exe         修改注册表项         HKUS\S-1-5-21-4011447912-2747632329-2706482482-1000\Software\Microsoft\SystemCertificates\MY
2013-01-18 14:13:49         C:\Windows\SysWOW64\svchost.exe         访问COM接口         LocalSecurityAuthority.Tcb
2013-01-18 14:13:44         C:\Windows\SysWOW64\svchost.exe         创建进程         C:\Users\Firefox3\AppData\Local\Temp\8255073.bat
2013-01-18 14:13:43         C:\Windows\SysWOW64\svchost.exe         访问COM接口         LocalSecurityAuthority.Tcb
2013-01-18 14:13:42         C:\Windows\system32\rundll32.exe         Sandbox中运行         Partially Limited
2013-01-18 14:13:42         C:\Windows\system32\svchost.exe         Sandbox中运行         Partially Limited
2013-01-18 14:13:38         C:\Windows\SysWOW64\svchost.exe         访问内存         C:\Windows\explorer.exe
2013-01-18 14:13:31         C:\Windows\SysWOW64\svchost.exe         访问内存         C:\Windows\System32\taskhost.exe
2013-01-18 14:13:20         C:\Program Files (x86)\Java\jre7\bin\java.exe         创建进程         C:\Users\Firefox3\wgsdgsdgdsgsd.exe
2013-01-18 14:13:12         C:\Windows\SysWOW64\svchost.exe         修改文件         C:\ProgramData\Local Settings\Temp\msifwhvaa.pif
2013-01-18 14:13:12         C:\Windows\SysWOW64\svchost.exe         修改注册表项         \REGISTRY\REGISTRY\MACHINE\software\Wow6432Node\microsoft\windows\currentversion\Policies\Explorer\Run
2013-01-18 14:13:12         C:\Windows\SysWOW64\svchost.exe         修改文件         C:\Users\Firefox3\wgsdgsdgdsgsd.exe
2013-01-18 14:12:58         C:\Program Files (x86)\Java\jre7\bin\java.exe         创建进程         C:\Users\Firefox3\wgsdgsdgdsgsd.exe
2013-01-18 14:12:56         C:\Users\Firefox3\wgsdgsdgdsgsd.exe         Sandbox中运行         Partially Limited
2013-01-18 14:12:56         C:\Windows\syswow64\svchost.exe         Sandbox中运行         Partially Limited
2013-01-18 14:12:32         C:\Program Files (x86)\Java\jre7\bin\java.exe         创建进程         C:\Users\Firefox3\wgsdgsdgdsgsd.exe
2013-01-18 14:12:31         C:\Users\Firefox3\wgsdgsdgdsgsd.exe         Sandbox中运行         Partially Limited  

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

656635525
发表于 2013-1-18 14:29:37 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

z2009
发表于 2013-1-18 14:31:19 | 显示全部楼层
红伞kill all
回复

举报

追影子的十三
发表于 2013-1-18 14:33:24 | 显示全部楼层
前面3个报

后面一个报

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

龙套传说
发表于 2013-1-18 14:35:12 | 显示全部楼层
FSCS除了第3个其他全杀
回复

举报

消停
头像被屏蔽
发表于 2013-1-18 14:42:14 | 显示全部楼层
完整路径: f:\样本\e6557b0b22d.exe
威胁: Suspicious.Cloud.7.F
____________________________
____________________________
在电脑上的创建时间 2013-1-18 ( 14:41:01 )
上次使用时间 2013-1-18 ( 14:41:01 )
启动项目 否
已启动 否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________

此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。
____________________________

____________________________
文件操作
文件: f:\样本\e6557b0b22d.exe
已阻止
平均资源使用率:未知平均CPU 使用率:未知平均内存使用率:未知
____________________________
文件指纹 - SHA:
7bbcff200b54048d341ddbdc49660411d7a3653ddede3a1e141258dccfd93988
____________________________
文件指纹 - MD5:
9d9f17c80ec377609caa08e85c4b7a44
____________________________




完整路径: f:\样本\007e4127.exe
威胁: Suspicious.Cloud.7.F
____________________________
____________________________
在电脑上的创建时间 不可用
上次使用时间 2013-1-18 ( 14:41:18 )
启动项目 否
已启动 否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________

此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。
____________________________

____________________________
文件操作
文件: f:\样本\007e4127.exe
已删除
平均资源使用率:未知平均CPU 使用率:未知平均内存使用率:未知
____________________________
文件指纹 - SHA:
7bbcff200b54048d341ddbdc49660411d7a3653ddede3a1e141258dccfd93988
____________________________
文件指纹 - MD5:
9d9f17c80ec377609caa08e85c4b7a44
____________________________
回复

举报

sanhu35
发表于 2013-1-18 14:49:01 | 显示全部楼层
在我这里没这么多动作。
回复

举报

firefox3
 楼主| 发表于 2013-1-18 14:51:31 | 显示全部楼层
sanhu35 发表于 2013-1-18 14:49
在我这里没这么多动作。

我是win7 X64
回复

举报

消停
头像被屏蔽
发表于 2013-1-18 16:06:41 | 显示全部楼层
完整路径: 不可用
威胁: SONAR.Heuristic
____________________________
____________________________
在电脑上的创建时间 2013-1-18 ( 16:05:05 )
上次使用时间 2013-1-18 ( 16:05:05 )
启动项目 否
已启动 是
____________________________
____________________________
少量用户信任的文件
诺顿社区中有不到 50 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________

此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________


源文件:
winrar.exe

创建的文件:
007e198a.exe
____________________________
文件操作
受感染文件: f:\样本\007e198a.exe
已删除
____________________________
系统设置操作
事件: 进程启动 (执行者 f:\样本\007e198a.exe, PID:600)
未采取操作
事件: 进程启动: f:\样本\007e198a.exe, PID:600 (执行者 f:\样本\007e198a.exe, PID:600)
未采取操作
____________________________
可疑操作
事件: 尝试在进程地址空间内启动远程线程 (执行者 f:\样本\007e198a.exe, PID:600)
未采取操作
平均资源使用率:未知平均CPU 使用率:未知平均内存使用率:未知
____________________________
文件指纹 - SHA:
e137141ced03dfe16c0ab7a4d9f2e987b3cc913fe4d98b2aeb8d248fd90e49e8
____________________________
文件指纹 - MD5:
8acbac046a1965551604274ca41e6fff
____________________________


wgsdgsdgdsgsd.exe成功启动wuauclt.exe,然后自删除!
回复

举报

wqcaokeyinwq
发表于 2013-1-18 16:33:03 | 显示全部楼层
样本有点意思。。样本全部过微点扫描。。。。。


双击第一个样本。。。开始主防未报警。。大约过了10秒左右。。。。主防发力直接秒杀。。。


随后剩下的2和4号样本直接临时特征库秒掉。。。。


双击第3个样本。。。主防再秒。。













本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-2-2 16:49 , Processed in 0.148069 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表