File name: D8AA.tmp.exe Detection ratio: 4 / 54 Angler ExploitKit Redirect 挂马

墨家小子

SHA256:        16e58b6a1d3ec98970f512dbc1c7acf6cb42239766dd90b8a2dfe4dc6aa6f246
File name:        D8AA.tmp.exe
Detection ratio:        4 / 54
Analysis date:        2016-01-23 10:59:57 UTC ( 1 minute ago )
https://www.virustotal.com/en/fi ... nalysis/1453546797/

Avira        TR/AD.Gamarue.Y.1825        20160123
Malwarebytes        Trojan.Miuref        20160123
McAfee-GW-Edition        BehavesLike.Win32.Dropper.cc        20160123
Qihoo-360        HEUR/QVM42.0.Malware.Gen        20160123

先说这个毒网，简直了，一个多月依然健在，产品线丰富多样，产量充足~~

开启诺顿自动防护，进入挂马网页，木马经过漏洞渗透进入本地，诺顿下载分析报安全，两个样本都是安全（其实是一个）。
开启诺顿IPS，报：Web Attack: Angler Exploit Kit Redirect，木马行为又有大的变化，注入对象换成msiexec.exe，好像不是加密勒索了，注入之后怕SSF拦截不到后续行为，所以拦截到一半就终止了，不然死得会很惨~~

声纳已经进化到142了~~截图并不完整，有一步是木马修改注册表的行为，没有截图，好像是文件关联~

尘梦幽然

双击确实没有拦截

墨家小子

声纳进化到142~~偶也！！

忘记了，添加一个副产品，一个dll，在木马文件夹里



SHA256:        9fc086043bbc240d3876df3d862dbbb6084bcfa25098ef249e396ab19016f1af
File name:        BulwerLytton.dll
Detection ratio:        2 / 54
Analysis date:        2016-01-23 11:10:43 UTC ( 0 minutes ago )
https://www.virustotal.com/en/fi ... nalysis/1453547443/

Malwarebytes        Trojan.Miuref        20160123
Qihoo-360        HEUR/QVM24.0.Malware.Gen        20160123

1446547521

文件名: d8aa.tmp.exe
威胁名称: WS.Reputation.1完整路径: e:\迅雷下载\d8aa.tmp.exe

____________________________

____________________________


在电脑上的创建时间 
2016/1/23 ( 19:16:40 )

上次使用时间 
2016/1/23 ( 19:18:54 )

启动项目 
否

已启动 
否

威胁类型: 智能网络威胁。 很多迹象表明此文件不可信任，不安全

____________________________


d8aa.tmp.exe 威胁名称: WS.Reputation.1
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

中
此文件具有中等程度风险。


____________________________


https://att.kafan.cn/forum.php?mo ... DkwNjUyMHwxOTM1ODE2
已下载文件 d8aa.tmp.exe 威胁名称: WS.Reputation.1
从 att.kafan.cn
来源: 外部介质

winrar.exe


创建的文件:
d8aa.tmp.exe

____________________________

文件操作

文件: e:\迅雷下载\ d8aa.tmp.exe 已删除
____________________________


文件指纹 - SHA:
16e58b6a1d3ec98970f512dbc1c7acf6cb42239766dd90b8a2dfe4dc6aa6f246
文件指纹 - MD5:
不可用



文件名: 6b47.tmp.exe
威胁名称: WS.Reputation.1完整路径: e:\迅雷下载\6b47.tmp.exe

____________________________

____________________________


在电脑上的创建时间 
2016/1/23 ( 19:15:27 )

上次使用时间 
2016/1/23 ( 19:20:26 )

启动项目 
否

已启动 
否

威胁类型: 智能网络威胁。 很多迹象表明此文件不可信任，不安全

____________________________


6b47.tmp.exe 威胁名称: WS.Reputation.1
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

中
此文件具有中等程度风险。


____________________________


https://att.kafan.cn/forum.php?mo ... DkwNjUyMHwxOTM1ODE2
已下载文件 6b47.tmp.exe 威胁名称: WS.Reputation.1
从 att.kafan.cn
来源: 外部介质

6b47.tmp.exe

____________________________

文件操作

文件: e:\迅雷下载\ 6b47.tmp.exe 已删除
____________________________


文件指纹 - SHA:
16e58b6a1d3ec98970f512dbc1c7acf6cb42239766dd90b8a2dfe4dc6aa6f246
文件指纹 - MD5:
不可用

墨家小子

1446547521 发表于 2016-1-23 19:20
文件名: d8aa.tmp.exe
威胁名称: WS.Reputation.1完整路径: e:\迅雷下载\d8aa.tmp.exe

会不会玩？

1446547521

墨家小子 发表于 2016-1-23 19:22
会不会玩？

等会双击

墨家小子

1446547521 发表于 2016-1-23 19:24
等会双击

我是开启自动防护进挂马网页的，声纳报142，可在本地双击的时候声纳什么反应都没有，注销了也不杀，木马添加启动项

猥琐大叔

1446547521

双击，诺顿无任何反应。。

等下试试BD

墨家小子

1446547521 发表于 2016-1-23 19:51
双击，诺顿无任何反应。。

等下试试BD

我双击也是毫无反应，你看下启动项
但是进入挂马网页之后声纳是有反应的

尘梦幽然

至于双击的效果差异，正在测试。