厉害木马

显示全部楼层 · 发表于 2016-2-28 16:41:14

这毒2000块一个月，过云杀,加启动杀不出,非常厉害的木马.

显示全部楼层 · 发表于 2016-2-28 16:45:17

卡巴斯基安全软件
拒绝访问
无法访问该网页

对象 URL :

https://att.kafan.cn/forum.php?mo ... DkwNjUyMHwyMDMwNzQ0

原因 :

对象感染源 Backdoor.Win32.Farfli.adbc
消息生成日期 : 2016/2/28 16:44:54

显示全部楼层 · 发表于 2016-2-28 16:46:28

反病毒软件	结果	病毒库日期
腾讯（Tencent）	Win32.Backdoor.Gh0sta.Auto	2016-02-28
AVG	Trojan horse Generic_r.GIK	2016-02-28

过SEP扫描。

显示全部楼层 · 发表于 2016-2-28 16:48:28

to mcafee

显示全部楼层 · 发表于 2016-2-28 16:53:04

本帖最后由 icedream89 于 2016-2-28 17:05 编辑

ess9 扫描miss
ATC 删光

.

火眼
[mw_shl_code=css,true]基本信息
文件名称：浓雾之息.rar
MD5：a9467e2eac4d44e29e10e42b3b946e4c
Sha-1：55b45d67ba8cff4c53bdce411363cd1bd56f79c9
文件大小：474KB
创建时间：2016-02-28 16:54:27
文件类型：RAR
PEID信息：Not a valid PE file
火眼点评
搜索指定窗口;设置文件属性;查找文件;创建进程;创建互斥体;在其他进程中申请内存;拷贝自身到其他目录
其他行为监控
行为描述：拷贝自身到其他目录
附加信息：%APPDATA%\747378de77034a9afc23bad5f1d1a712\crossfire.exe
行为描述：在其他进程中申请内存
附加信息：%APPDATA%\747378de77034a9afc23bad5f1d1a712\crossfire.exe%system%\rundll32.exe
行为描述：创建互斥体
附加信息："Ojo6YSR0bGx2dHRza2EmIiBta2tra0M=""Shell.CMruPidlList""_!SHMSFTHISTORY!_""c:!documents and settings!administrator!local settings!history!history.ie5!mshist012013012320130124!"
行为描述：创建进程
附加信息：%APPDATA%\747378de77034a9afc23bad5f1d1a712\crossfire.exe%system%\rundll32.exe
行为描述：查找文件
附加信息："%APPDATA%\747378de77034a9afc23bad5f1d1a712\crossfire.exe"
行为描述：设置文件属性
附加信息：%APPDATA%\747378de77034a9afc23bad5f1d1a712 >> HIDE%APPDATA%\747378de77034a9afc23bad5f1d1a712 >> HIDE >> SYSTEM%APPDATA%\747378de77034a9afc23bad5f1d1a712 >> SYSTEM%APPDATA%\747378de77034a9afc23bad5f1d1a712\Release.dll >> HIDE%APPDATA%\747378de77034a9afc23bad5f1d1a712\Release.dll >> HIDE >> SYSTEM%APPDATA%\747378de77034a9afc23bad5f1d1a712\Release.dll >> SYSTEM%USERPROFILE%\桌面\Release.dll >> HIDE%USERPROFILE%\桌面\Release.dll >> HIDE >> SYSTEM%USERPROFILE%\桌面\Release.dll >> SYSTEM
行为描述：搜索指定窗口
附加信息：["Progman" , ""]["Progman" , "Program Manager"]["SHELLDLL_DefView" , ""]["ShImgVw:CPreviewWnd" , ""]["SysListView32" , ""]
文件操作监控
操作文件MD5 文件大小文件路径
新增 9486286997e3f325eede4331de45136d 231936 %USERPROFILE%\桌面\\Release.dll
新增 7b770da3333c69350c29515b07c3394c 239104 %APPDATA%\747378de77034a9afc23bad5...
新增 9486286997e3f325eede4331de45136d 231936 %APPDATA%\747378de77034a9afc23bad5...
进程操作监控
创建进程：%ProgramFiles%\41123.jpg
启动参数：无
创建进程：%system%\RUNDLL32.exe
启动参数："rundll32.exe" %system%\shimgvw.dll,ImageView_Fullscreen %ProgramFiles%\41123.jpg
创建进程：%APPDATA%\747378de77034a9afc23bad5f1d1a712\crossfire.exe
启动参数：无
创建进程：%APPDATA%\747378de77034a9afc23bad5f1d1a712\crossfire.exe
启动参数："%APPDATA%\747378de77034a9afc23bad5f1d1a712\crossfire.exe"
新增删除修改注册表监控
HKEY_CLASSES_ROOT\\.key
[(NULL)] = [regfile]
HKEY_LOCAL_MACHINE\\SOFTWARE\Classes\.key
[(NULL)] = [regfile]
网络监控
网络操作
[Connect HOST]221.103.34.177:8888
[Resolve HOST Name]www.a19931108.com[/mw_shl_code]

显示全部楼层 · 发表于 2016-2-28 16:57:57

本帖最后由 windows7爱好者于 2016-2-28 18:50 编辑

自启动没有，样本已废

疯狂要求加启动项
何必呢

显示全部楼层 · 发表于 2016-2-28 17:01:58

文件 ID 文件名大小(字节) 结果
28734100 %E6%B5%93%E9%9B%B...AF.rar 473.75 KB OK

以下位置提供了存档中包含的文件及其结果的列表:
文件 ID 文件名大小(字节) 结果
28734101 Ũ 878 Byte UNDER ANALYSIS
28734102 Ũ 30.48 KB UNDER ANALYSIS
28734103 Ũ 233.5 KB UNDER ANALYSIS
28734104 Ũ 226.5 KB UNDER ANALYSIS

显示全部楼层 · 发表于 2016-2-28 19:46:32

本帖最后由 ericdj 于 2016-2-28 20:01 编辑

样本运行时，弹出的窗口有误导

显示全部楼层 · 发表于 2016-2-28 20:09:07

运行，弹出一个图片，过360、bg，其他貌似没啥

显示全部楼层 · 发表于 2016-2-28 22:20:06

这个远控木马如果联网的话，估计360国内版的nd防护就会拦截，至于国际版，虽然扫描和监控不杀，不过只要传输，下载保护就会报的

[病毒样本] 厉害木马

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源