File name: 9B43.tmp.exe Detection ratio: 1 / 55 IPS未拦截，估计是加密勒索挂马

显示全部楼层 · 发表于 2016-3-1 10:26:37

本帖最后由墨家小子于 2016-3-1 10:38 编辑

SHA256: 5ec5fff45c3c77b160a3dca5d51e0b25bb335f3d691b6dbd014bed882f8f9879
File name: 9B43.tmp.exe
Detection ratio: 1 / 55
Analysis date: 2016-03-01 02:21:05 UTC ( 0 minutes ago )
https://www.virustotal.com/en/file/5ec5fff45c3c77b160a3dca5d51e0b25bb335f3d691b6dbd014bed882f8f9879/analysis/1456798865/

Bkav HW32.Packed.52E0 20160229

纯野生实机捕获，漏洞攻击类型未知，HMPA拦截木马运行，SSF & 诺顿IPS 毫无反应~让我惊讶的是IPS居然没有反应，怎么可能，看样本很熟悉的样子，估计漏洞攻击也跟之前出现的差不多，怎么IPS没有反应，居然轮到HMPA出手了？等会再试试IPS，有可能是网络问题

HMPA拦截日志：

Mitigation CallerCheck

Platform    6.3.9600/x64 06_3d
PID       6636
Application  C:\Program Files (x86)\Internet Explorer\iexplore.exe
Description  Internet Explorer 11

Callee Type  CreateProcess
         C:\Users\SSS\AppData\Local\Temp\Low\9B43.tmp.exe

Stack Trace
#  Address  Module                Location
-- -------- ------------------------ ----------------------------------------
1  13FD07E6 (anonymous)
         85c0                   TEST       EAX, EAX
         7517                   JNZ       0x13fd0801
         e914ffffff             JMP       0x13fd0703

2  13FD08D2 (anonymous)
3  776E919F kernel32.dll          BaseThreadInitThunk +0xe
4  77C3A22B ntdll.dll             RtlInitializeExceptionChain +0x84
5  77C3A201 ntdll.dll             RtlInitializeExceptionChain +0x5a

Process Trace
1  C:\Program Files (x86)\Internet Explorer\iexplore.exe [6636]
"C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:11472 CREDAT:4134228 /prefetch:2
2  C:\Program Files\Internet Explorer\iexplore.exe [11472]
"C:\Program Files\Internet Explorer\iexplore.exe" -private
3  C:\Windows\explorer.exe [4080]
4  C:\Windows\System32\userinit.exe [9132]
5  C:\Windows\System32\winlogon.exe [7292]
C:\windows\System32\WinLogon.exe -SpecialSession
6  C:\Windows\System32\smss.exe [7936]
\SystemRoot\System32\smss.exe 00000000 00000054 C:\windows\System32\WinLogon.exe -SpecialSession

显示全部楼层 · 发表于 2016-3-1 10:36:50

卡巴杀

01.03.2016 10.36.04;检测到的对象 ( 文件 ) 已删除。;C:\Users\Administrator\Downloads\9B43.tmp.exe;C:\Users\Administrator\Downloads\9B43.tmp.exe;UDS:DangerousPattern.Multi.Generic;未知威胁;03/01/2016 10:36:04

显示全部楼层 · 发表于 2016-3-1 10:48:44

最近敲诈病毒多了

显示全部楼层 · 发表于 2016-3-1 11:17:57

idayong 发表于 2016-3-1 10:48
最近敲诈病毒多了

我准备把你在样本区的每个回复都举报了

显示全部楼层 · 发表于 2016-3-1 11:22:21

显示全部楼层 · 发表于 2016-3-1 11:28:08

y3312068 发表于 2016-3-1 11:22
avg

例行性拉黑跟卡巴UDS就别秀了

显示全部楼层 · 发表于 2016-3-1 11:47:52

文件名: 9b43.tmp.exe
威胁名称: SONAR.SelfHijack!gen1
完整路径: 不可用

____________________________

详细信息
极少用户信任的文件, 极新的文件, 风险高

原始
下载自
未知

活动
已执行的操作: 5

____________________________

在电脑上的创建时间
2016-3-1 ( 11:45:12 )

上次使用时间
2016-3-1 ( 11:45:12 )

启动项目
否

已启动
是

____________________________

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

来源: 外部介质

源文件:
9b43.tmp.exe

____________________________

文件操作

文件: f:\norton样本\临时收集\ 9b43.tmp.exe 已删除
事件: 正在运行进程: f:\norton样本\临时收集\ 9b43.tmp.exe 已终止
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\9b43.tmp.exe, PID:3636) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 9b43.tmp.exe, PID:2560 (执行者 f:\norton样本\临时收集\9b43.tmp.exe, PID:3636) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 9b43.tmp.exe, PID:3636 (执行者 f:\norton样本\临时收集\9b43.tmp.exe, PID:3636) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-3-1 12:06:01

qvm自动捕获入库流程恢复了？第一次下载未知，然后再下载qvm了

显示全部楼层 · 发表于 2016-3-1 12:17:34

蜜汁拉黑

显示全部楼层 · 发表于 2016-3-1 13:56:14

本帖最后由 a5132902 于 2016-3-1 13:59 编辑

EAV

时间;扫描程序;对象类型;对象;威胁;操作;用户;信息;哈希
2016/3/1 周二 13:55:37;文档防护;文件;https://att.kafan.cn/forum.php?mo ... ;Win32/Kryptik.EPRR 特洛伊木马的变种;已删除;

[可疑文件] File name: 9B43.tmp.exe Detection ratio: 1 / 55 IPS未拦截，估计是加密勒索挂马

本帖子中包含更多资源

评分

评分

本帖子中包含更多资源

本帖子中包含更多资源