查看: 5054|回复: 20
收起左侧

[可疑文件] Detection ratio: 1 / 55 Web Attack: Mass Injection Website 19 加密勒索挂马

[复制链接]
墨家小子
发表于 2016-3-3 10:31:54 | 显示全部楼层 |阅读模式
SHA256:        b2c034b3483aaca882f7c533acebf7df5b0e7041e4beca271edbd7537bdeca8d
File name:        27E1.tmp.exe
Detection ratio:        1 / 55
Analysis date:        2016-03-03 02:21:40 UTC ( 1 minute ago )
https://www.virustotal.com/en/file/b2c034b3483aaca882f7c533acebf7df5b0e7041e4beca271edbd7537bdeca8d/analysis/1456971700/


Qihoo-360        HEUR/QVM07.1.Malware.Gen        20160303

1、打开IPS,诺顿拦截,日志:
2016/3/3 10:20:13,高,阻止了 localhost 的入侵企图,已阻止,不需要操作,Web Attack: Mass Injection Website 19,不需要操作,不需要操作,"localhost (127.0.0.1, 2XXX1)",XXenw.com/fastXXne-co-uk-depth-reXXw-reXXle-service-XXive-college-XXments-sXXdily-timely/,"localhost (127.0.0.1, XXX7)",localhost (127.0.0.1),"TCP, 端口 2XXX1",
2016/3/3 10:20:09,高,阻止了 localhost 的入侵企图,已阻止,不需要操作,Web Attack: Mass Injection Website 19,不需要操作,不需要操作,"localhost (127.0.0.1, 2XXX1)",XXnw.com/,"localhost (127.0.0.1, XXX5)",localhost (127.0.0.1),"TCP, 端口 2XXX1",


2、关闭诺顿自动防护、IPS,开启漏洞利用防护,诺顿毫无反应,SSF弹窗拦截:


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2经验 +15 人气 +1 收起 理由
绯色鎏金 + 15 版区有你更精彩: )
qftest + 1 TeslaCrypt 3.0 收藏了

查看全部评分

猥琐大叔
发表于 2016-3-3 10:56:43 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
胖福
发表于 2016-3-3 11:00:03 | 显示全部楼层
文件名: 27e1.tmp.exe
威胁名称: SONAR.SelfHijack!gen1完整路径: 不可用

____________________________

____________________________


在电脑上 
2016-3-3 ( 10:56:42 )

上次使用时间 
2016-3-3 ( 10:56:42 )

启动项 


已启动 


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


27e1.tmp.exe 威胁名称: SONAR.SelfHijack!gen1
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
27e1.tmp.exe

____________________________

文件操作

文件: f:\norton样本\临时收集\ 27e1.tmp.exe 威胁已删除
事件: 正在运行进程: f:\norton样本\临时收集\ 27e1.tmp.exe 已终止
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\27e1.tmp.exe, PID:1028) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 27e1.tmp.exe, PID:4020 (执行者 f:\norton样本\临时收集\27e1.tmp.exe, PID:1028) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 27e1.tmp.exe, PID:1028 (执行者 f:\norton样本\临时收集\27e1.tmp.exe, PID:1028) 未采取操作
____________________________

可疑操作

(执行者 f:\norton样本\临时收集\27e1.tmp.exe, PID:1028) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
xyz0703
发表于 2016-3-3 11:55:20 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
windows7爱好者
发表于 2016-3-3 12:33:06 | 显示全部楼层
本帖最后由 windows7爱好者 于 2016-3-3 12:51 编辑

DPH击杀

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ymb668888
发表于 2016-3-3 13:50:26 | 显示全部楼层
本帖最后由 ymb668888 于 2016-3-3 14:08 编辑

卡巴云杀,断网及关闭文件反病毒,一样删除,同样的云报法,没办法双击,然后再关闭主防,双击后,开启主防,卡巴日志显示主防拦截并回滚,但是实际查看,还是被加密了,没回滚成功,文件后缀名变为了MP3

03.03.2016 13.55.14;恶意程序的操作已回滚;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\27E1.tmp.exe;c:\users\administrator\downloads\27e1.tmp.exe;03/03/2016 13:55:14
03.03.2016 13.55.14;恶意程序的操作已回滚;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\27E1.tmp.exe;c:\users\administrator\downloads\27e1.tmp.exe;03/03/2016 13:55:14
03.03.2016 13.55.14;恶意程序的操作已回滚;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\27E1.tmp.exe;c:\sandbox\administrator\defaultbox\drive\c\windows\ogetubvepfkk.exe;03/03/2016 13:55:14
03.03.2016 13.55.14;恶意程序的操作已回滚;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\27E1.tmp.exe;c:\sandbox\administrator\defaultbox\drive\c\windows\ogetubvepfkk.exe;03/03/2016 13:55:14
03.03.2016 13.55.14;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\microsoft\windows\temporary internet files\content.ie5\31a2ddz8\9-220x124[2].jpg;c:\sandbox\administrator\defaultbox\user\current\appdata\local\microsoft\windows\temporary internet files\content.ie5\31a2ddz8\9-220x124[2].jpg;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ogetubvepfkk.exe;c:\users\administrator\downloads\27e1.tmp.exe;03/03/2016 13:55:14
03.03.2016 13.55.14;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\microsoft\windows\temporary internet files\content.ie5\31a2ddz8\9-220x124[1].jpg;c:\sandbox\administrator\defaultbox\user\current\appdata\local\microsoft\windows\temporary internet files\content.ie5\31a2ddz8\9-220x124[1].jpg;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ogetubvepfkk.exe;c:\users\administrator\downloads\27e1.tmp.exe;03/03/2016 13:55:14


03.03.2016 13.55.14;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\microsoft\internet explorer\brndlog.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\microsoft\internet explorer\brndlog.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ogetubvepfkk.exe;c:\users\administrator\downloads\27e1.tmp.exe;03/03/2016 13:55:14
03.03.2016 13.55.14;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\microsoft\internet explorer\brndlog.bak;c:\sandbox\administrator\defaultbox\user\current\appdata\local\microsoft\internet explorer\brndlog.bak;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ogetubvepfkk.exe;c:\users\administrator\downloads\27e1.tmp.exe;03/03/2016 13:55:14



03.03.2016 13.55.14;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\_recovery_+cyeju.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\_recovery_+cyeju.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ogetubvepfkk.exe;c:\users\administrator\downloads\27e1.tmp.exe;03/03/2016 13:55:14
03.03.2016 13.55.14;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\color\_recovery_+cyeju.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\color\_recovery_+cyeju.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ogetubvepfkk.exe;c:\users\administrator\downloads\27e1.tmp.exe;03/03/2016 13:55:14
03.03.2016 13.55.14;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\color\profiles\_recovery_+cyeju.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\color\profiles\_recovery_+cyeju.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ogetubvepfkk.exe;c:\users\administrator\downloads\27e1.tmp.exe;03/03/2016 13:55:14
03.03.2016 13.55.14;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\acrobat\_recovery_+cyeju.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\acrobat\_recovery_+cyeju.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ogetubvepfkk.exe;c:\users\administrator\downloads\27e1.tmp.exe;03/03/2016 13:55:14
03.03.2016 13.55.14;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\acrobat\11.0\_recovery_+cyeju.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\acrobat\11.0\_recovery_+cyeju.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ogetubvepfkk.exe;c:\users\administrator\downloads\27e1.tmp.exe;03/03/2016 13:55:14
03.03.2016 13.55.14;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\acrobat\11.0\cache\_recovery_+cyeju.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\acrobat\11.0\cache\_recovery_+cyeju.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ogetubvepfkk.exe;c:\users\administrator\downloads\27e1.tmp.exe;03/03/2016 13:55:14
03.03.2016 13.53.22;恶意程序已删除;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\27E1.tmp.exe;c:\users\administrator\downloads\27e1.tmp.exe;03/03/2016 13:53:22
03.03.2016 13.53.22;恶意程序已删除;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\27E1.tmp.exe;c:\users\administrator\downloads\27e1.tmp.exe;03/03/2016 13:53:22
03.03.2016 13.53.22;恶意程序已删除;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\27E1.tmp.exe;c:\sandbox\administrator\defaultbox\drive\c\windows\ogetubvepfkk.exe;03/03/2016 13:53:22
03.03.2016 13.53.22;恶意程序已删除;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\27E1.tmp.exe;c:\sandbox\administrator\defaultbox\drive\c\windows\ogetubvepfkk.exe;03/03/2016 13:53:22
03.03.2016 13.53.07;恶意程序已终止;PDM:Trojan.Win32.Generic;Increment Housebreakers Energiser;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ogetubvepfkk.exe;03/03/2016 13:53:07
03.03.2016 13.53.07;检测到恶意程序;PDM:Trojan.Win32.Generic;Increment Housebreakers Energiser;c:\users\administrator\downloads\27e1.tmp.exe;03/03/2016 13:53:07
03.03.2016 13.53.07;检测到恶意程序;PDM:Trojan.Win32.Generic;Increment Housebreakers Energiser;c:\sandbox\administrator\defaultbox\drive\c\windows\ogetubvepfkk.exe;03/03/2016 13:53:07
03.03.2016 13.53.07;检测到恶意程序;PDM:Trojan.Win32.Generic;Increment Housebreakers Energiser;c:\sandbox\administrator\defaultbox\drive\c\windows\ogetubvepfkk.exe;03/03/2016 13:53:07
03.03.2016 13.53.07;检测到恶意程序;PDM:Trojan.Win32.Generic;Increment Housebreakers Energiser;c:\users\administrator\downloads\27e1.tmp.exe;03/03/2016 13:53:07

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +3 收起 理由
绯色鎏金 + 3 版区有你更精彩: )

查看全部评分

pal家族
发表于 2016-3-3 14:10:22 | 显示全部楼层
楼上让我见识了新的主防测试方法。。。。。。。
ymb668888
发表于 2016-3-3 14:12:23 | 显示全部楼层
pal家族 发表于 2016-3-3 14:10
楼上让我见识了新的主防测&#35 ...

我只是想试试能不能完美的回滚,结果
pal家族
发表于 2016-3-3 14:18:23 | 显示全部楼层
ymb668888 发表于 2016-3-3 14:12
我只是想试试能不能完美的回滚,结果

你真6。你这么测试能拦截的好的话 我就不用卡巴了。
该怎么拦截,该怎么回滚,没有完整的行为检测怎么做得到?
我并不是说卡巴一定能成功拦截这个样本,是你这个测试方法我不认同。
ymb668888
发表于 2016-3-3 14:21:36 | 显示全部楼层
pal家族 发表于 2016-3-3 14:18
你真6。你这么测试能拦截的& ...

好吧,好像是有点问题,忽略了它的完整的检测过程
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 04:22 , Processed in 0.153703 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表