File name: 4ABF.tmp.exe Detection ratio: 0 / 54 加密勒索挂马，注入，截屏

墨家小子

SHA256:        9bc07bbb53f260fe99275070dcd8f7bc9808b2d923a2ae28776d7f903bfdf1c2
File name:        4ABF.tmp.exe
Detection ratio:        0 / 54
Analysis date:        2016-01-30 11:13:47 UTC ( 1 minute ago )
https://www.virustotal.com/en/file/9bc07bbb53f260fe99275070dcd8f7bc9808b2d923a2ae28776d7f903bfdf1c2/analysis/1454152427/

VT上哭声一片，依然妥妥的团灭，为什么第一时间VT上看不到我大数字我打瑞星，好心痛~~

墨家小子

发表于 2016-1-30 19:16:49
已经19：28了，居然还没有看到拉黑截图呢

pal家族

卡巴主防杀了。。。WIN10 64位 实机

vm001

360ts下载保护qvm10.1，解压后扫描不杀-------------抽了...

1446547521

文件名: 4abf.tmp.exe
威胁名称: SONAR.SuspBeh!gen244完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2016/1/30 ( 19:29:18 )

上次使用时间 
2016/1/30 ( 19:29:18 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


4abf.tmp.exe 威胁名称: SONAR.SuspBeh!gen244
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
4abf.tmp.exe

____________________________

文件操作

文件: e:\迅雷下载\ 4abf.tmp.exe 威胁已删除
目录: c:\users\14465\appdata\roaming\ 728cf 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 e:\迅雷下载\4abf.tmp.exe, PID:1380) 未采取操作
事件: 进程启动: c:\Windows\syswow64\ explorer.exe, PID:6028 (执行者 e:\迅雷下载\4abf.tmp.exe, PID:1380) 未采取操作
事件: 进程启动: e:\迅雷下载\ 4abf.tmp.exe, PID:1380 (执行者 e:\迅雷下载\4abf.tmp.exe, PID:1380) 未采取操作
事件: PE 文件创建: c:\users\14465\appdata\roaming\728cf\ 28cf70f.exe (执行者 e:\迅雷下载\4abf.tmp.exe, PID:1380) 未采取操作
____________________________

可疑操作

(执行者 e:\迅雷下载\4abf.tmp.exe, PID:1380) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

1446547521

文件名: c752.tmp.exe
威胁名称: SONAR.Cryptlocker!g48完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2016/1/30 ( 19:39:24 )

上次使用时间 
2016/1/30 ( 19:39:24 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


c752.tmp.exe 威胁名称: SONAR.Cryptlocker!g48
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
c752.tmp.exe

____________________________

文件操作

文件: e:\迅雷下载\ c752.tmp.exe 威胁已删除
文件: c:\users\14465\drive\e\迅雷下载\ c752.tmp.exe 威胁已删除
文件: c:\users\14465\appdata\roaming\cbceb\ bceb868.exe 威胁已删除
目录: c:\users\14465\appdata\roaming\ cbceb 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\machine\SYSTEM\CurrentControlSet\ Control, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Machine\SOFTWARE\Policies\Microsoft\Windows\ Appx, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\ AppModelUnlock, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\machine\Software\Policies\Microsoft\ Cryptography, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\machine\Software\Microsoft\ Cryptography, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\user\current\SOFTWARE\Microsoft\ Windows NT, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\machine\software\classes\ clsid, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\user\current\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\machine\Software\Microsoft\ Windows NT, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\user\current\SOFTWARE\Microsoft\Windows\CurrentVersion\ Internet Settings, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\user\current\SOFTWARE\Microsoft\Windows\CurrentVersion\ OnDemandInterfaceCache, 注册表配置单元: 64 位 威胁已删除
____________________________

网络操作

事件: 网络通信上检测到 Symantec IDS 特征 (执行者 e:\迅雷下载\c752.tmp.exe, PID:5988) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 e:\迅雷下载\c752.tmp.exe, PID:5988) 未采取操作
事件: 进程启动: c:\Windows\syswow64\ explorer.exe, PID:7792 (执行者 e:\迅雷下载\c752.tmp.exe, PID:5988) 未采取操作
事件: 进程启动: e:\迅雷下载\ c752.tmp.exe, PID:5988 (执行者 e:\迅雷下载\c752.tmp.exe, PID:5988) 未采取操作
事件: PE 文件创建: c:\users\14465\appdata\roaming\cbceb\ bceb868.exe (执行者 e:\迅雷下载\c752.tmp.exe, PID:5988) 未采取操作
事件: PE 文件创建: c:\users\14465\drive\e\迅雷下载\ c752.tmp.exe (执行者 e:\迅雷下载\c752.tmp.exe, PID:5988) 未采取操作
事件: 进程启动: c:\Windows\syswow64\ svchost.exe, PID:3936 (执行者 e:\迅雷下载\c752.tmp.exe, PID:5988) 未采取操作
____________________________

可疑操作

(执行者 e:\迅雷下载\c752.tmp.exe, PID:5988) 未采取操作
事件: 尝试在进程地址空间内启动远程线程 (执行者 e:\迅雷下载\c752.tmp.exe, PID:5988) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用


2016/1/30 19:40:06,高,阻止了 213.186.33.82 的入侵企图,已阻止,不需要操作,,不需要操作,不需要操作,System Infected: Trojan.Cryptodefense Activity 5,"213.186.33.82, 80",wordpress-facile.fr/rYDtS4.php?d=gv12v8lddh7miq1,"DESKTOP-T9SRMEB (192.168.1.102, 55275)",213.186.33.82,"TCP, www-http"
2016/1/30 19:39:55,高,阻止了 63.143.37.114 的入侵企图,已阻止,不需要操作,,不需要操作,不需要操作,System Infected: Trojan.Cryptodefense Activity 5,"63.143.37.114, 80",bikeneal.com/1EFs9Q.php?g=gv12v8lddh7miq1,"DESKTOP-T9SRMEB (192.168.1.102, 55266)",63.143.37.114,"TCP, www-http"
2016/1/30 19:39:43,高,阻止了 208.146.35.40 的入侵企图,已阻止,不需要操作,,不需要操作,不需要操作,System Infected: Trojan.Cryptodefense Activity 5,"208.146.35.40, 80",ragecraftgaming.com/i7BCwl.php?a=gv12v8lddh7miq1,"DESKTOP-T9SRMEB (192.168.1.102, 55259)",208.146.35.40,"TCP, www-http"

windows7爱好者

现在制作不错啊，这图片我喜欢
，熟悉的弹窗，
你又来
今天样本对于不能加入启动项很是不满，要求了4次
加密什么的，老样子，我的电脑上现在太多被加密的东西，我先清理清理再说

1446547521

windows7爱好者 发表于 2016-1-30 19:47
现在制作不错啊，这图片我喜欢
，熟悉的弹窗，
你又来

心疼你电脑

aboringman

AVG：

扫描：miss all；

双击：实机双击，IDP双杀。

4ABF.tmp.exe：

"";"IDP.ARES.Generic, C:\Users\kiiler\Desktop\4ABF.tmp.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/1/30, 20:17:18"
"";", C:\Users\kiiler\Desktop\4ABF.tmp.exe";"Object was blocked";"Process";"2016/1/30, 20:17:18"


C752.tmp.exe：

"";"IDP.ARES.Generic, C:\Users\kiiler\Desktop\C752.tmp.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/1/30, 20:17:56"
"";", C:\Users\kiiler\Desktop\C752.tmp.exe";"Object was blocked";"Process";"2016/1/30, 20:17:56"

pal家族

喂！你的拉黑！
不，是你的拉黑！