查看: 1968|回复: 8
收起左侧

[可疑文件] Detection ratio: 3 / 54 TMPC93F.tmp 头一次看见这样的挂马,用explorer加密勒索

[复制链接]
墨家小子
发表于 2015-12-4 19:03:16 | 显示全部楼层 |阅读模式
本帖最后由 墨家小子 于 2015-12-4 20:04 编辑

SHA256:        3475cb7d8bcaeae135d7afcc1f077817b0bc1610a925e0b08be84649144a50a0
File name:        TMPC93F.tmp
Detection ratio:        3 / 54
Analysis date:        2015-12-04 10:52:08 UTC ( 1 minute ago )
https://www.virustotal.com/en/fi ... nalysis/1449226328/





1、进挂马网页,SSF弹出conhost.exe要执行taskhost.exe,平时没见过这样的弹窗,疑点1

2、随后conhost.exe很多行为,疑点2

3、按捺不住的explorer终于露出尾巴,看文字加粗处

4、最后两个tmp粉墨登场……

5、explorer执行应用程序 (vssadmin.exe Delete Shadows /All /Quiet)并联网回到服务器(应该是加密勒索吧,很像)

2015/12/4 18:41:05,C:\Windows\System32\conhost.exe,53,Allowed ;执行应用程序 (C:\windows

\system32\taskhost.exe)

2015/12/4 18:41:05,C:\Program Files (x86)\Internet Explorer\iexplore.exe,53,Allowed ;执行应用程序 (C:

\windows\system32\conhost.exe)

2015/12/4 18:42:06,C:\Windows\System32\conhost.exe,53,Allowed ;执行应用程序 (C:\windows

\explorer.exe)

2015/12/4 18:42:08,C:\Windows\System32\conhost.exe,53,Allowed ;执行应用程序 (C:\windows

\system32\taskhost.exe)

2015/12/4 18:42:11,C:\Windows\System32\conhost.exe,53,Allowed ;执行应用程序 (C:\windows

\explorer.exe)

2015/12/4 18:42:18,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 (C:\Users\AAAA\AppData\Local

\Temp\{B96EB7CE-3FCF-4776-BBA5-2FD9CADF8090}\TMPC779.tmp)
2015/12/4 18:42:19,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 (C:\Users\AAAA\AppData\Local

\Temp\{80E14A51-C0EF-4136-B7A8-C260A5B503EA}\TMPC93F.tmp)


2015/12/4 18:42:20,C:\Windows\System32\taskhost.exe,48,Allowed ;出站网络访问

2015/12/4 18:43:03,C:\Users\AAAA\AppData\Local\Temp\{B96EB7CE-3FCF-4776-BBA5-

2FD9CADF8090}\TMPC779.tmp,53,Allowed ;执行应用程序 (C:\Users\AAAA\AppData\Local\Temp

\{B96EB7CE-3FCF-4776-BBA5-2FD9CADF8090}\TMPC779.tmp)

2015/12/4 18:43:27,C:\Users\AAAA\AppData\Local\Temp\{80E14A51-C0EF-4136-B7A8-

C260A5B503EA}\TMPC93F.tmp,53,Allowed ;执行应用程序 (C:\Users\AAAA\AppData\Local\Temp

\{80E14A51-C0EF-4136-B7A8-C260A5B503EA}\TMPC93F.tmp)

2015/12/4 18:43:33,C:\Users\AAAA\AppData\Local\Temp\{B96EB7CE-3FCF-4776-BBA5-

2FD9CADF8090}\TMPC779.tmp,53,Allowed ;执行应用程序 ("C:\windows\system32\explorer.exe")

2015/12/4 18:43:48,C:\Windows\SysWOW64\explorer.exe,41,Allowed ;修改受保护的文件 (C:\Windows

\ymoguvyx.exe)

2015/12/4 18:44:03,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;修改受保护的注册表键 (HKCU

\Software\Microsoft\Windows\CurrentVersion\Run,onynuqov)

2015/12/4 18:44:05,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;修改受保护的注册表键 (HKCU

\Software\Microsoft\Windows\CurrentVersion\Run,utogufex)

2015/12/4 18:44:07,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;修改受保护的注册表键 (HKCU

\Software\Microsoft\Windows\CurrentVersion\Run,ehaqndos)

2015/12/4 18:44:10,C:\Windows\SysWOW64\explorer.exe,53,Blocked ;执行应用程序 (vssadmin.exe

Delete Shadows /All /Quiet)

2015/12/4 18:44:12,C:\Windows\SysWOW64\explorer.exe,50,Allowed ;使用 DNS 解析服务访问网络

2015/12/4 18:44:12,C:\Windows\explorer.exe,57,Allowed ;正在以只读方式打开受保护的进程

(explorer.exe(pid=5920))
2015/12/4 18:44:12,C:\Windows\explorer.exe,57,Allowed ;正在以只读方式打开受保护的进程

(explorer.exe(pid=5920))

2015/12/4 18:44:16,C:\Windows\SysWOW64\explorer.exe,48,Blocked ;出站网络访问

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +10 收起 理由
绯色鎏金 + 10 提供样本及测试,标准三第3条

查看全部评分

pal家族
发表于 2015-12-4 19:05:55 | 显示全部楼层
本帖最后由 pal家族 于 2015-12-4 19:11 编辑

目前卡巴云特征已经有反馈
04.12.2015 19.05.15;恶意程序已删除;D:\360安全浏览器下载\TMPC93F\TMPC93F.exe;D:\360安全浏览器下载\TMPC93F\TMPC93F.exe;
UDS:DangerousPattern.Multi.Generic
XywCloud
发表于 2015-12-4 19:07:20 | 显示全部楼层
SUD to BAV
aboringman
发表于 2015-12-4 19:14:05 | 显示全部楼层
AVG:

扫描:miss;

双击:实机双击(不入沙),样本成功添加启动项后再过了一会儿,IDP击杀之。

"";"IDP.ARES.Generic, C:\Users\Killer\Desktop\TMPC93F.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2015/12/4, 19:11:37"
"";", C:\Users\Killer\Desktop\TMPC93F.exe";"Object was blocked";"Process";"2015/12/4, 19:11:37"
"";", C:\Users\Killer\Desktop\TMPC93F.exe";"Object was blocked";"Process";"2015/12/4, 19:11:37"
"";", C:\Users\Killer\Desktop\TMPC93F.exe";"Object was blocked";"Process";"2015/12/4, 19:11:37"
"";", C:\Windows\explorer.exe";"Object was blocked";"Process";"2015/12/4, 19:11:37"
"";", C:\Windows\ubofymhs.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2015/12/4, 19:11:37"
"";", HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\HGWZUFOQ";"Deleted, Moved to Virus Vault";"Registry value";"2015/12/4, 19:11:37"
"";", C:\Users\Killer\Desktop\TMPC93F.exe";"Object was blocked";"Process";"2015/12/4, 19:11:37"

评分

参与人数 1经验 +3 收起 理由
绯色鎏金 + 3 版区有你更精彩: )

查看全部评分

墨家小子
 楼主| 发表于 2015-12-4 19:21:04 | 显示全部楼层
aboringman 发表于 2015-12-4 19:14
AVG:

扫描:miss;

重点应该是加密的这几步行为或者是链回服务器这些行为能不能及时拦截,不能的话,仅仅杀掉启动项的时候也许人家已经加密了呢
samlin01
发表于 2015-12-4 19:26:05 | 显示全部楼层
红伞kill all

评分

参与人数 1人气 +1 收起 理由
追影子的十三 + 1 测试辛苦

查看全部评分

aboringman
发表于 2015-12-4 19:26:41 | 显示全部楼层
墨家小子 发表于 2015-12-4 19:21
重点应该是加密的这几步行为或者是链回服务器这些行为能不能及时拦截,不能的话,仅仅杀掉启动项的时候也 ...

它还没开始加密,IDP就击杀掉了(IDP是连酷狗的iebox.exe都能报的,你知道它有多灵敏了吧【虽说是误杀】),换成ATC应该就不会给它添加启动项的机会了。

PS.这不是HIPS,而是行为分析型主防,还带回滚。
saga3721
发表于 2015-12-4 20:04:27 | 显示全部楼层
文件 ID         文件名         大小(字节)         结果
28668294         TMPC93F.rar         211.38 KB         OK
28668296         TMPC779.rar         211.38 KB         OK

以下位置提供了存档中包含的文件及其结果的列表:
文件 ID         文件名         大小(字节)         结果
28668295         TMPC93F.tmp         272 KB         UNDER ANALYSIS
28668295         TMPC779.tmp         272 KB         UNDER ANALYSIS
275751198
发表于 2015-12-4 21:32:51 | 显示全部楼层
360双
类型:
HEUR/QVM07.1.Malware.Gen

描述:
木马通常利用系统的漏洞,绕过系统防御,达到:盗取账号、窃取资料、篡改文件、破坏数据的目的。
经过360安全中心检验,此文件是木马,建议您立即处理。

扫描引擎:
360云查杀引擎

文件指纹(MD5):
6f186b7eefaa2d5939174535e9baaa0d
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-7-24 01:15 , Processed in 0.127711 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表