查看: 3043|回复: 11
收起左侧

[可疑文件] File name: D8AA.tmp.exe Detection ratio: 4 / 54 Angler ExploitKit Redirect 挂马

[复制链接]
墨家小子
发表于 2016-1-23 19:03:15 | 显示全部楼层 |阅读模式
本帖最后由 墨家小子 于 2016-1-23 19:07 编辑

SHA256:        16e58b6a1d3ec98970f512dbc1c7acf6cb42239766dd90b8a2dfe4dc6aa6f246
File name:        D8AA.tmp.exe
Detection ratio:        4 / 54
Analysis date:        2016-01-23 10:59:57 UTC ( 1 minute ago )
https://www.virustotal.com/en/fi ... nalysis/1453546797/


Avira        TR/AD.Gamarue.Y.1825        20160123
Malwarebytes        Trojan.Miuref        20160123
McAfee-GW-Edition        BehavesLike.Win32.Dropper.cc        20160123
Qihoo-360        HEUR/QVM42.0.Malware.Gen        20160123


先说这个毒网,简直了,一个多月依然健在,产品线丰富多样,产量充足~~

开启诺顿自动防护,进入挂马网页,木马经过漏洞渗透进入本地,诺顿下载分析报安全,两个样本都是安全(其实是一个)。
开启诺顿IPS,报:Web Attack: Angler Exploit Kit Redirect,木马行为又有大的变化,注入对象换成msiexec.exe,好像不是加密勒索了,注入之后怕SSF拦截不到后续行为,所以拦截到一半就终止了,不然死得会很惨~~


声纳已经进化到142了~~截图并不完整,有一步是木马修改注册表的行为,没有截图,好像是文件关联~












本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
尘梦幽然
发表于 2016-1-23 23:41:52 | 显示全部楼层


双击确实没有拦截

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2016-1-23 19:05:16 | 显示全部楼层
本帖最后由 墨家小子 于 2016-1-23 19:12 编辑

声纳进化到142~~偶也!!

忘记了,添加一个副产品,一个dll,在木马文件夹里



SHA256:        9fc086043bbc240d3876df3d862dbbb6084bcfa25098ef249e396ab19016f1af
File name:        BulwerLytton.dll
Detection ratio:        2 / 54
Analysis date:        2016-01-23 11:10:43 UTC ( 0 minutes ago )
https://www.virustotal.com/en/fi ... nalysis/1453547443/

Malwarebytes        Trojan.Miuref        20160123
Qihoo-360        HEUR/QVM24.0.Malware.Gen        20160123

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
1446547521
发表于 2016-1-23 19:20:56 | 显示全部楼层
文件名: d8aa.tmp.exe
威胁名称: WS.Reputation.1完整路径: e:\迅雷下载\d8aa.tmp.exe

____________________________

____________________________


在电脑上的创建时间 
2016/1/23 ( 19:16:40 )

上次使用时间 
2016/1/23 ( 19:18:54 )

启动项目 


已启动 


威胁类型: 智能网络威胁。 很多迹象表明此文件不可信任,不安全

____________________________


d8aa.tmp.exe 威胁名称: WS.Reputation.1
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有中等程度风险。


____________________________


https://att.kafan.cn/forum.php?mo ... DkwNjUyMHwxOTM1ODE2
已下载文件 d8aa.tmp.exe 威胁名称: WS.Reputation.1
从 att.kafan.cn
来源: 外部介质

winrar.exe


创建的文件:
d8aa.tmp.exe

____________________________

文件操作

文件: e:\迅雷下载\ d8aa.tmp.exe 已删除
____________________________


文件指纹 - SHA:
16e58b6a1d3ec98970f512dbc1c7acf6cb42239766dd90b8a2dfe4dc6aa6f246
文件指纹 - MD5:
不可用



文件名: 6b47.tmp.exe
威胁名称: WS.Reputation.1完整路径: e:\迅雷下载\6b47.tmp.exe

____________________________

____________________________


在电脑上的创建时间 
2016/1/23 ( 19:15:27 )

上次使用时间 
2016/1/23 ( 19:20:26 )

启动项目 


已启动 


威胁类型: 智能网络威胁。 很多迹象表明此文件不可信任,不安全

____________________________


6b47.tmp.exe 威胁名称: WS.Reputation.1
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有中等程度风险。


____________________________


https://att.kafan.cn/forum.php?mo ... DkwNjUyMHwxOTM1ODE2
已下载文件 6b47.tmp.exe 威胁名称: WS.Reputation.1
从 att.kafan.cn
来源: 外部介质

6b47.tmp.exe

____________________________

文件操作

文件: e:\迅雷下载\ 6b47.tmp.exe 已删除
____________________________


文件指纹 - SHA:
16e58b6a1d3ec98970f512dbc1c7acf6cb42239766dd90b8a2dfe4dc6aa6f246
文件指纹 - MD5:
不可用

墨家小子
 楼主| 发表于 2016-1-23 19:22:58 | 显示全部楼层
1446547521 发表于 2016-1-23 19:20
文件名: d8aa.tmp.exe
威胁名称: WS.Reputation.1完整路径: e:\迅雷下载\d8aa.tmp.exe

会不会玩?
1446547521
发表于 2016-1-23 19:24:33 | 显示全部楼层

等会双击
墨家小子
 楼主| 发表于 2016-1-23 19:36:29 | 显示全部楼层

我是开启自动防护进挂马网页的,声纳报142,可在本地双击的时候声纳什么反应都没有,注销了也不杀,木马添加启动项
猥琐大叔
发表于 2016-1-23 19:38:03 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
1446547521
发表于 2016-1-23 19:51:52 | 显示全部楼层


双击,诺顿无任何反应。。

等下试试BD

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2016-1-23 19:58:34 | 显示全部楼层
1446547521 发表于 2016-1-23 19:51
双击,诺顿无任何反应。。

等下试试BD

我双击也是毫无反应,你看下启动项
但是进入挂马网页之后声纳是有反应的
尘梦幽然
发表于 2016-1-23 21:03:58 | 显示全部楼层


至于双击的效果差异,正在测试。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-28 18:45 , Processed in 0.133764 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表