Detection ratio: 2 / 55 Malicious Website Script Redirect 16 加密勒索挂马

墨家小子

SHA256:        215894a7fcc7d9ac7234ac23f98a9e89179d3b5d3ca3ce44d0f5dc80f090b8d8
File name:        AB28.tmp.exe
Detection ratio:        2 / 55
Analysis date:        2016-02-27 03:56:36 UTC ( 0 minutes ago )
https://www.virustotal.com/en/file/215894a7fcc7d9ac7234ac23f98a9e89179d3b5d3ca3ce44d0f5dc80f090b8d8/analysis/1456545396/

Bkav        HW32.Packed.A314        20160226
McAfee        Ransomware-FFF!E096EF34D4D4        20160227

我去，为什么看不到国产？说好的节假日全年无休呢？

IPS拦截日志：
2016/2/27 11:53:21,高,阻止了 localhost 的入侵企图,已阻止,不需要操作,Web Attack : Malicious Website Script Redirect 16,不需要操作,不需要操作,"localhost (127.0.0.1, 5XXX3)",XXXlanta.com/boXXue/?attachment_id=7,"localhost (127.0.0.1, 1XXX8)",localhost (127.0.0.1),"TCP, 端口 5XXX3",

windows7爱好者

蜘蛛这个软件，有个比较奇葩的现象，一个样本，无非入库，或者主防杀，或者防火墙，或者内存扫描，全漏的我就见过一个


打了波广告

rrorr

[mw_shl_code=css,true]Mitigation   CryptoGuard

Platform     6.1.7601/x86 06_3c*
PID          1572
Application  C:\Windows\iokcyenveach.exe
Description  Agar Squarer Submitter 0.235

Filename     C:\Windows\iokcyenveach.exe

C:\Users\Administrator.PC\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8ORKVNOM\blank[1].png
C:\Users\Administrator.PC\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8ORKVNOM\bkgrey[1].png
C:\$Recycle.Bin\S-1-5-21-2822333451-2535238799-2698388218-500\$RGGXS6Y.doc

Code Injection
00400000-00485000  532KB C:\Windows\iokcyenveach.exe [2336]
7FFDF000-7FFE0000    4KB
1  C:\Windows\iokcyenveach.exe [2336]
2  C:\Users\Administrator.PC\Desktop\AB28.tmp.exe [1900]
3  C:\Users\Administrator.PC\Desktop\AB28.tmp.exe [2880]
4  C:\Windows\explorer.exe [3528]
5  C:\Windows\System32\userinit.exe [3444]
6  C:\Windows\System32\winlogon.exe [3228]
winlogon.exe
7  C:\Windows\System32\smss.exe [3172]
\SystemRoot\System32\smss.exe 00000000 00000040

Process Trace
1  C:\Windows\iokcyenveach.exe [1572]
2  C:\Windows\iokcyenveach.exe [2336]
3  C:\Users\Administrator.PC\Desktop\AB28.tmp.exe [1900]
4  C:\Users\Administrator.PC\Desktop\AB28.tmp.exe [2880]
5  C:\Windows\explorer.exe [3528]
6  C:\Windows\System32\userinit.exe [3444]
7  C:\Windows\System32\winlogon.exe [3228]
winlogon.exe
8  C:\Windows\System32\smss.exe [3172]
\SystemRoot\System32\smss.exe 00000000 00000040
[/mw_shl_code]

墨家小子

windows7爱好者 发表于 2016-2-27 12:07
蜘蛛这个软件，有个比较奇葩的现象，一个样本，无非入库，或者主防杀，或者防火墙，或者内存扫描，全漏的我 ...

拜托你打广告，也学学人家那几个用AVG的，文案很重要的好不好？适当的加点文言小文，再搞点技术性日志博眼球，实在不行再在国外区搬运点官方文档，见人就说，我用大蜘蛛，我的电脑没毛病，没瑕疵

275751198

目测一天内同步入库


看来是我高估他了，拖了一天多才入库

类型:木马-HEUR/QVM07.1.Malware.Gen
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:云特征引擎
文件路径:D:\下载文件存储文件夹\123\新建文件夹\AB28.tmp.exe
文件大小:356K (364,549 字节)
文件版本:0.66.123.158
文件描述:Agar Squarer Submitter
文件指纹（MD5）:f8232e2d4d13ac27f545197ad3295565
处理建议:隔离文件

rrorr

请问除了ips是自动挡的还有什么同类型的自动挡？

墨家小子

windows7爱好者 发表于 2016-2-27 12:07
蜘蛛这个软件，有个比较奇葩的现象，一个样本，无非入库，或者主防杀，或者防火墙，或者内存扫描，全漏的我 ...

那，看在熟人的份上，我免费给你一个广告文案，记住哦，别外传

墨家小子

rrorr 发表于 2016-2-27 12:21
请问除了ips是自动挡的还有什么同类型的自动挡？

诺顿好像全自动水洗吧？我也不清楚，你可以问问诺顿区那个编外客服兼推广小编，至于是谁你懂的

ymb668888

卡巴解压杀
27.02.2016 12.25.18;检测到的对象（文件）已删除。;C:\Users\Administrator\Downloads\AB28.tmp.exe;C:\Users\Administrator\Downloads\AB28.tmp.exe;UDS:DangerousPattern.Multi.Generic;未知威胁;02/27/2016 12:25:18

skyboybone

http://fireeye.ijinshan.com/anal ... 690&type=1#full