File name: TMP609F.exe Detection ratio: 4 / 56 神网再现，SSF单挑，Round 1，败！

墨家小子

SHA256:        ada9cf6810208bd881d0a1d5c8f3b1feb6d9ea194e6c61640e22c9e642af3937
File name:        TMP609F.exe
Detection ratio:        4 / 56
Analysis date:        2016-03-19 16:15:41 UTC ( 1 minute ago )
https://www.virustotal.com/en/file/ada9cf6810208bd881d0a1d5c8f3b1feb6d9ea194e6c61640e22c9e642af3937/analysis/1458404141/

AhnLab-V3        Trojan/Win32.Teslacrypt        20160319
Baidu        Win32.Trojan.WisdomEyes.151026.9950.9999        20160318
ESET-NOD32        a variant of Win32/Injector.CUSF        20160319
Qihoo-360        HEUR/QVM07.1.0000.Malware.Gen        20160319

IPS先来撑撑场面：
2016/3/19 23:49:45,High,An intrusion attempt by localhost was blocked.,Blocked,No Action Required,,No Action Required,No Action Required,Web Attack: Angler Exploit Kit Website 6,"localhost (127.0.0.1, 1XXX7)",for.hyderabadphotographyfest.co.in/topic/49560-daftest-fittingly-refill-warrants-acyclic-fleshless-deadliest/,"localhost (127.0.0.1, XXX5)",localhost (127.0.0.1),"TCP, Port 1XXX7"




线路一，虚线，先注入系统程序，IE启动conhost，然后conhost启动taskhost、explorer，因为SSF拦截不到注入，所以没有注入截图





线路二，实线，下载木马进入本地，木马启动，被SSF拦截


实线受阻，虚线开始攻击，biu biu biu~~~注意看那些凌乱的系统程序（截图中白色底的）

墨家小子

貌似昨晚也是这个时间段出现的，挂马网页IP是美国 纽约州伊利县威廉斯维尔村ColoCrossing有限公司
不知道SSF官方看到这样的结果会怎么想 明明是拦截了木马，但是系统还是被搞崩了，背后的凶手不知道是谁

MXCERILYF!

BD双击

z2009

红伞双击灭

MXCERILYF!

卡巴云kill

HEMM

胆子小的我又来玩无敌啦，等等等等等一声过后，无敌隔离了样本，让我们看看报的是啥，嗯......不用看了，拉黑......

cfhdrty

fs

shadowqs

我ESS又无敌了。

Luca.l

墨家小子

cfhdrty 发表于 2016-3-20 01:16
fs

这是第一次弹窗，能不能放行？