Detection ratio: 4 / 56 360安全卫士 Vs 神网（注入攻击 + 加密勒索挂马）

显示全部楼层 · 发表于 2016-3-23 13:15:57

本帖最后由墨家小子于 2016-3-23 13:18 编辑

SHA256: 233f19a705f3fc615476abaee1514423751e2ee16d0ff32dbf7f0392192e7ee4
File name: TMP53B4.exe
Detection ratio: 4 / 56
Analysis date: 2016-03-23 05:03:10 UTC ( 1 minute ago )
https://www.virustotal.com/en/file/233f19a705f3fc615476abaee1514423751e2ee16d0ff32dbf7f0392192e7ee4/analysis/1458709390/

AhnLab-V3 Win-Trojan/Lockycrypt.Gen 20160322
Baidu Win32.Trojan.WisdomEyes.151026.9950.9999 20160322
McAfee Ransomware-FHE!D3AEAB958C64 20160323
Qihoo-360 QVM07.1.Malware.Gen 20160323

卫士关闭小红伞引擎，进入神网，首先是IE启动conhost（这里是第一个拦截点：http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2034225&pid=37343685），然后conhost启动taskhost和explorer，explorer注入（第二个拦截点），这一过程360安全卫士没有任何拦截弹窗，紧接着，IE启动加密勒索木马，360安全卫士拦截杀掉该木马，然而这并没有结束……

角落里的taskhost安安静静的想静静，静静是谁我不知道，这并没有毛病，一分钟左右，各种系统程序（估计是被explorer注入的）被启动，并联网，看数字的加速球，CPU累哭了~~尼玛，表天天玩毒网好不？注销之后，没有截图（卡懵逼导致），数字并没有拦截explorer在C:\ProgramData下创建文件夹并生成DLL木马（良心测试，我会乱说，可以不信，我，拍胸口说的）

这是一个有图标的木马

显示全部楼层 · 发表于 2016-3-23 13:18:24

双击，，诺顿处理

文件名: tmp53b4.exe
威胁名称: SONAR.Heuristic.144完整路径: 不可用

____________________________

____________________________

在电脑上
2016/3/23 ( 13:17:54 )

上次使用时间
2016/3/23 ( 13:17:54 )

启动项
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

tmp53b4.exe 威胁名称: SONAR.Heuristic.144
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
haozip.exe

创建的文件:
tmp53b4.exe

____________________________

文件操作

文件: c:\users\microsoft\desktop\新建文件夹\ tmp53b4.exe 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\microsoft\desktop\新建文件夹\tmp53b4.exe, PID:848) 未采取操作
事件: 进程启动: c:\users\microsoft\desktop\新建文件夹\ tmp53b4.exe, PID:7272 (执行者 c:\users\microsoft\desktop\新建文件夹\tmp53b4.exe, PID:848) 未采取操作
事件: 进程启动: c:\users\microsoft\desktop\新建文件夹\ tmp53b4.exe, PID:848 (执行者 c:\users\microsoft\desktop\新建文件夹\tmp53b4.exe, PID:848) 未采取操作
事件: 进程启动 (执行者 c:\users\microsoft\desktop\新建文件夹\tmp53b4.exe, PID:7272) 未采取操作
事件: PE 文件创建: c:\360sandbox\shadow\users\microsoft\documents\ vhqmyv.exe (执行者 c:\users\microsoft\desktop\新建文件夹\tmp53b4.exe, PID:7272) 未采取操作
事件: 进程启动: c:\users\microsoft\desktop\新建文件夹\ tmp53b4.exe, PID:7272 (执行者 c:\users\microsoft\desktop\新建文件夹\tmp53b4.exe, PID:7272) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-3-23 13:24:55

卡巴运行起码1分钟才触发pdm并回滚

显示全部楼层 · 发表于 2016-3-23 13:52:27

本帖最后由 rrorr 于 2016-3-23 13:55 编辑

现在问题来了，我要看哪个？还是说我还没触发？

现在windows数据执行保护开，按访问保护关

显示全部楼层 · 发表于 2016-3-23 13:59:51

rrorr 发表于 2016-3-23 13:52
现在问题来了，我要看哪个？还是说我还没触发？

就开漏洞利用防护，别的关闭看看能不能拦截，你杀的那个是网页监控

显示全部楼层 · 发表于 2016-3-23 14:07:28

墨家小子发表于 2016-3-23 13:59
就开漏洞利用防护，别的关闭看看能不能拦截，你杀的那个是网页监控

对，我已经关了然后换了ip再上了，我要看哪个？

显示全部楼层 · 发表于 2016-3-23 14:11:37

rrorr 发表于 2016-3-23 14:07
对，我已经关了然后换了ip再上了，我要看哪个？

你不是把访问保护都开了吗？那个里面有跟IPS差不多的防护，恶意代码没法注入了，测试的话关闭访问保护才行，只开漏洞利用防护，看看有没有效果
捎带着试试GD呗，看看能不能杀dll

显示全部楼层 · 发表于 2016-3-23 14:40:58

本帖最后由 rrorr 于 2016-3-23 14:43 编辑

墨家小子发表于 2016-3-23 14:11
你不是把访问保护都开了吗？那个里面有跟IPS差不多的防护，恶意代码没法注入了，测试的话关闭访问保护才 ...

那个swf应该就是关键了，现在回复快照默认设置也不报了。现在没有ip可以触发了

显示全部楼层 · 发表于 2016-3-23 15:11:36

GD主防干掉

显示全部楼层 · 发表于 2016-3-23 15:59:06

rrorr 发表于 2016-3-23 14:40
那个swf应该就是关键了，现在回复快照默认设置也不报了。现在没有ip可以触发了

明天再玩吧，直到玩坏为止，没得玩我再让人去找

目前据说好像是没有了

[可疑文件] Detection ratio: 4 / 56 360安全卫士 Vs 神网（注入攻击 + 加密勒索挂马）

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源