收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 Detection ratio: 4 / 54 诺顿下载智能分析、HMPA、SSF ...
12下一页
返回列表 发新帖
查看: 4054|回复: 13
收起左侧

[可疑文件] Detection ratio: 4 / 54 诺顿下载智能分析、HMPA、SSF Vs 加密勒索挂马

[复制链接]
墨家小子
发表于 2016-3-8 13:08:04 | 显示全部楼层 |阅读模式
SHA256:        470803dcdd4614a5d4726099dd25187351d7a9678689816298d6a3ceebdcb1c2
File name:        95C2.tmp.exe
Detection ratio:        4 / 54
Analysis date:        2016-03-08 04:58:59 UTC ( 1 minute ago )
https://www.virustotal.com/en/file/470803dcdd4614a5d4726099dd25187351d7a9678689816298d6a3ceebdcb1c2/analysis/1457413139/

AegisLab        Troj.W32.Gen        20160307
Malwarebytes        Trojan.Pseudo        20160308
Rising        PE:Malware.Generic(Thunder)!1.A1C4 [F]        20160308
Tencent        Win32.Trojan.Bp-ransomware.Ejqz        20160308

以下依次验证防御层次,从漏洞攻击防御到AD防御木马启动。就如同楼主为什么喜欢刁难SSF要修补注入防御一样,多层次以及拦截点的意思。





防护全开,SSF、诺顿、HMPA,进挂马网页,HMPA最先动手,漏洞攻击防御不是浪得虚名的,IPS哑火。木马进入本地还叫漏洞攻击防御成功吗?


关闭HMPA,SSF、诺顿全开,进入挂马网页,IPS继续沉默是金,SSF携手诺顿下载智能分析双双拦截!


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +15 收起 理由
绯色鎏金 + 15 辛苦

查看全部评分

回复

举报

ymb668888
发表于 2016-3-8 13:34:24 | 显示全部楼层
本帖最后由 ymb668888 于 2016-3-8 13:45 编辑

卡巴扫描miss,双击,主防全部拦截,并回滚
[mw_shl_code=css,true]08.03.2016 13.31.50;恶意程序的操作已回滚;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\8AE0.tmp.exe;c:\users\administrator\downloads\8ae0.tmp.exe;03/08/2016 13:31:50
08.03.2016 13.31.50;恶意程序的操作已回滚;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\8AE0.tmp.exe;c:\sandbox\administrator\defaultbox\drive\c\windows\hdjiuogoitfq.exe;03/08/2016 13:31:50
08.03.2016 13.31.50;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\drive\c\0c37dbeee2eff5307fe9e0f949d2cf5b\目录说明.txt;c:\sandbox\administrator\defaultbox\drive\c\0c37dbeee2eff5307fe9e0f949d2cf5b\目录说明.txt;C:\Users\Administrator\Downloads\8AE0.tmp.exe;c:\users\administrator\downloads\8ae0.tmp.exe;03/08/2016 13:31:50
08.03.2016 13.31.50;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\drive\c\$recycle.bin\s-1-5-21-2013802216-4099067677-4003685837-500\$rlgp1vb.rar;c:\sandbox\administrator\defaultbox\drive\c\$recycle.bin\s-1-5-21-2013802216-4099067677-4003685837-500\$rlgp1vb.rar;C:\Users\Administrator\Downloads\8AE0.tmp.exe;c:\users\administrator\downloads\8ae0.tmp.exe;03/08/2016 13:31:50
08.03.2016 13.31.50;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\drive\c\$recycle.bin\s-1-5-21-2013802216-4099067677-4003685837-500\$ilgp1vb.rar;c:\sandbox\administrator\defaultbox\drive\c\$recycle.bin\s-1-5-21-2013802216-4099067677-4003685837-500\$ilgp1vb.rar;C:\Users\Administrator\Downloads\8AE0.tmp.exe;c:\users\administrator\downloads\8ae0.tmp.exe;03/08/2016 13:31:50
08.03.2016 13.31.50;回滚恶意程序的操作时注册表键值被恢复;HKEY_USERS\sandbox_administrator_defaultbox\machine\software\microsoft\windows\currentversion\policies\system\enablelinkedconnections;HKEY_USERS\sandbox_administrator_defaultbox\machine\software\microsoft\windows\currentversion\policies\system\enablelinkedconnections;C:\Users\Administrator\Downloads\8AE0.tmp.exe;c:\users\administrator\downloads\8ae0.tmp.exe;03/08/2016 13:31:50
08.03.2016 13.31.50;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\drive\c\$recycle.bin\s-1-5-21-2013802216-4099067677-4003685837-500\$ilgp1vb.rar;c:\sandbox\administrator\defaultbox\drive\c\$recycle.bin\s-1-5-21-2013802216-4099067677-4003685837-500\$ilgp1vb.rar;C:\Users\Administrator\Downloads\8AE0.tmp.exe;c:\users\administrator\downloads\8ae0.tmp.exe;03/08/2016 13:31:50
08.03.2016 13.31.50;回滚恶意程序的操作时注册表键值被恢复;HKEY_USERS\sandbox_administrator_defaultbox\machine\software\microsoft\windows\currentversion\policies\system\enablelinkedconnections;HKEY_USERS\sandbox_administrator_defaultbox\machine\software\microsoft\windows\currentversion\policies\system\enablelinkedconnections;C:\Users\Administrator\Downloads\8AE0.tmp.exe;c:\users\administrator\downloads\8ae0.tmp.exe;03/08/2016 13:31:50
08.03.2016 13.31.28;恶意程序已删除;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\8AE0.tmp.exe;c:\users\administrator\downloads\8ae0.tmp.exe;03/08/2016 13:31:28
08.03.2016 13.31.28;恶意程序已删除;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\8AE0.tmp.exe;c:\sandbox\administrator\defaultbox\drive\c\windows\hdjiuogoitfq.exe;03/08/2016 13:31:28
08.03.2016 13.31.20;恶意程序已终止;PDM:Trojan.Win32.Generic;MDM Device Interface for Rio 800 device.;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\hdjiuogoitfq.exe;03/08/2016 13:31:20
08.03.2016 13.31.20;检测到恶意程序;PDM:Trojan.Win32.Generic;MDM Device Interface for Rio 800 device.;c:\sandbox\administrator\defaultbox\drive\c\windows\hdjiuogoitfq.exe;03/08/2016 13:31:20
08.03.2016 13.31.20;检测到恶意程序;PDM:Trojan.Win32.Generic;MDM Device Interface for Rio 800 device.;c:\users\administrator\downloads\8ae0.tmp.exe;03/08/2016 13:31:20
08.03.2016 13.28.03;恶意程序的操作已回滚;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\1F35.tmp.exe;c:\users\administrator\downloads\1f35.tmp.exe;03/08/2016 13:28:03
08.03.2016 13.28.03;恶意程序的操作已回滚;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\1F35.tmp.exe;c:\sandbox\administrator\defaultbox\drive\c\windows\jdnrguoflggf.exe;03/08/2016 13:28:03
08.03.2016 13.28.03;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\drive\c\autodesk\autocad_2014_simplified_chinese_win_32bit_dlm\eula\czech.rtf;c:\sandbox\administrator\defaultbox\drive\c\autodesk\autocad_2014_simplified_chinese_win_32bit_dlm\eula\czech.rtf;C:\Users\Administrator\Downloads\1F35.tmp.exe;c:\users\administrator\downloads\1f35.tmp.exe;03/08/2016 13:28:03
08.03.2016 13.28.03;回滚恶意程序的操作时注册表键值被恢复;HKEY_USERS\sandbox_administrator_defaultbox\user\current\software\microsoft\windows\currentversion\internet settings\connections\savedlegacysettings;HKEY_USERS\sandbox_administrator_defaultbox\user\current\software\microsoft\windows\currentversion\internet settings\connections\savedlegacysettings;C:\Users\Administrator\Downloads\1F35.tmp.exe;c:\users\administrator\downloads\1f35.tmp.exe;03/08/2016 13:28:03
08.03.2016 13.28.03;回滚恶意程序的操作时注册表键值被恢复;HKEY_USERS\sandbox_administrator_defaultbox\user\current\software\microsoft\windows\currentversion\internet settings\proxyenable;HKEY_USERS\sandbox_administrator_defaultbox\user\current\software\microsoft\windows\currentversion\internet settings\proxyenable;C:\Users\Administrator\Downloads\1F35.tmp.exe;c:\users\administrator\downloads\1f35.tmp.exe;03/08/2016 13:28:03
08.03.2016 13.28.03;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\drive\c\0c37dbeee2eff5307fe9e0f949d2cf5b\目录说明.txt;c:\sandbox\administrator\defaultbox\drive\c\0c37dbeee2eff5307fe9e0f949d2cf5b\目录说明.txt;C:\Users\Administrator\Downloads\1F35.tmp.exe;c:\users\administrator\downloads\1f35.tmp.exe;03/08/2016 13:28:03
08.03.2016 13.28.03;回滚恶意程序的操作时注册表键值被恢复;HKEY_USERS\sandbox_administrator_defaultbox\machine\software\microsoft\windows\currentversion\policies\system\enablelinkedconnections;HKEY_USERS\sandbox_administrator_defaultbox\machine\software\microsoft\windows\currentversion\policies\system\enablelinkedconnections;C:\Users\Administrator\Downloads\1F35.tmp.exe;c:\users\administrator\downloads\1f35.tmp.exe;03/08/2016 13:28:03
08.03.2016 13.28.03;回滚恶意程序的操作时注册表键值被恢复;HKEY_USERS\sandbox_administrator_defaultbox\machine\software\microsoft\windows\currentversion\policies\system\enablelinkedconnections;HKEY_USERS\sandbox_administrator_defaultbox\machine\software\microsoft\windows\currentversion\policies\system\enablelinkedconnections;C:\Users\Administrator\Downloads\1F35.tmp.exe;c:\users\administrator\downloads\1f35.tmp.exe;03/08/2016 13:28:03
08.03.2016 13.27.32;恶意程序已删除;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\1F35.tmp.exe;c:\users\administrator\downloads\1f35.tmp.exe;03/08/2016 13:27:32
08.03.2016 13.27.32;恶意程序已删除;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\1F35.tmp.exe;c:\sandbox\administrator\defaultbox\drive\c\windows\jdnrguoflggf.exe;03/08/2016 13:27:32
08.03.2016 13.27.24;恶意程序已终止;PDM:Trojan.Win32.Generic;MDM Device Interface for Rio 800 device.;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\jdnrguoflggf.exe;03/08/2016 13:27:24
08.03.2016 13.27.24;检测到恶意程序;PDM:Trojan.Win32.Generic;MDM Device Interface for Rio 800 device.;c:\users\administrator\downloads\1f35.tmp.exe;03/08/2016 13:27:24
08.03.2016 13.27.24;检测到恶意程序;PDM:Trojan.Win32.Generic;MDM Device Interface for Rio 800 device.;c:\sandbox\administrator\defaultbox\drive\c\windows\jdnrguoflggf.exe;03/08/2016 13:27:24
08.03.2016 13.22.56;恶意程序的操作已回滚;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\95C2.tmp.exe;c:\users\administrator\downloads\95c2.tmp.exe;03/08/2016 13:22:56
08.03.2016 13.22.56;恶意程序的操作已回滚;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\95C2.tmp.exe;c:\sandbox\administrator\defaultbox\drive\c\windows\aowfhvamekss.exe;03/08/2016 13:22:56
08.03.2016 13.22.56;回滚恶意程序的操作时注册表键值被恢复;HKEY_USERS\sandbox_administrator_defaultbox\user\current\software\microsoft\windows\currentversion\internet settings\connections\savedlegacysettings;HKEY_USERS\sandbox_administrator_defaultbox\user\current\software\microsoft\windows\currentversion\internet settings\connections\savedlegacysettings;C:\Users\Administrator\Downloads\95C2.tmp.exe;c:\users\administrator\downloads\95c2.tmp.exe;03/08/2016 13:22:56
08.03.2016 13.22.56;回滚恶意程序的操作时注册表键值被恢复;HKEY_USERS\sandbox_administrator_defaultbox\user\current\software\microsoft\windows\currentversion\internet settings\proxyenable;HKEY_USERS\sandbox_administrator_defaultbox\user\current\software\microsoft\windows\currentversion\internet settings\proxyenable;C:\Users\Administrator\Downloads\95C2.tmp.exe;c:\users\administrator\downloads\95c2.tmp.exe;03/08/2016 13:22:56
08.03.2016 13.22.56;回滚恶意程序的操作时注册表键值被恢复;HKEY_USERS\sandbox_administrator_defaultbox\machine\software\microsoft\windows\currentversion\policies\system\enablelinkedconnections;HKEY_USERS\sandbox_administrator_defaultbox\machine\software\microsoft\windows\currentversion\policies\system\enablelinkedconnections;C:\Users\Administrator\Downloads\95C2.tmp.exe;c:\users\administrator\downloads\95c2.tmp.exe;03/08/2016 13:22:56
08.03.2016 13.22.56;回滚恶意程序的操作时注册表键值被恢复;HKEY_USERS\sandbox_administrator_defaultbox\machine\software\microsoft\windows\currentversion\policies\system\enablelinkedconnections;HKEY_USERS\sandbox_administrator_defaultbox\machine\software\microsoft\windows\currentversion\policies\system\enablelinkedconnections;C:\Users\Administrator\Downloads\95C2.tmp.exe;c:\users\administrator\downloads\95c2.tmp.exe;03/08/2016 13:22:56
08.03.2016 13.22.22;恶意程序已删除;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\95C2.tmp.exe;c:\users\administrator\downloads\95c2.tmp.exe;03/08/2016 13:22:22
08.03.2016 13.22.22;恶意程序已删除;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\95C2.tmp.exe;c:\sandbox\administrator\defaultbox\drive\c\windows\aowfhvamekss.exe;03/08/2016 13:22:22
08.03.2016 13.22.12;检测到恶意程序;PDM:Trojan.Win32.Generic;MDM Device Interface for Rio 800 device.;c:\sandbox\administrator\defaultbox\drive\c\windows\aowfhvamekss.exe;03/08/2016 13:22:12
08.03.2016 13.22.12;检测到恶意程序;PDM:Trojan.Win32.Generic;MDM Device Interface for Rio 800 device.;c:\users\administrator\downloads\95c2.tmp.exe;03/08/2016 13:22:12

[/mw_shl_code]

评分

参与人数 1经验 +3 收起 理由
绯色鎏金 + 3 版区有你更精彩: )

查看全部评分

回复

举报

送信Y
发表于 2016-3-8 14:40:54 | 显示全部楼层
数字扫描miss
回复

举报

z2009
发表于 2016-3-8 14:50:21 | 显示全部楼层
全部过红伞wg,360下载保护未知

双击,红伞全部kill
回复

举报

a445441
发表于 2016-3-8 15:04:35 | 显示全部楼层
微点拦截3个
回复

举报

胖福
发表于 2016-3-8 15:30:52 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

那年夏天0ooo
发表于 2016-3-8 16:12:17 | 显示全部楼层
HUORONG

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

rrorr
发表于 2016-3-8 18:12:41 | 显示全部楼层
胖福 发表于 2016-3-8 15:30

这个是啥
回复

举报

icedream89
发表于 2016-3-8 18:44:05 | 显示全部楼层
ess9 入库了
所以说 有时候把样本下载到本地 强行关掉监控双击很变态很变态

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

windows7爱好者
发表于 2016-3-8 19:34:53 | 显示全部楼层
来晚了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-3 13:59 , Processed in 0.139545 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表