高危网站被阻断 (更新，关闭网页防护再进毒网，然后就杯具了）

显示全部楼层 · 发表于 2012-12-11 16:41:18

本帖最后由 firefox3 于 2012-12-11 17:10 编辑

样本已提取

见：http://bbs.kafan.cn/thread-1426561-1-1.html

更新，关闭网页防护之后，防御失败

report file

注册表键值: HKU\S-1-5-21-789336058-1708537768-682003330-500\Software\Microsoft\WAB\, 由 C:\Documents and Settings\Administrator\Local Settings\Temp\8569ifaddakramaum.exe 在 12.11.2012  16:54:08
创建

注册表键值: HKU\S-1-5-21-789336058-1708537768-682003330-500\Software\Microsoft\Internet Account Manager\, 由 C:\Documents and Settings\Administrator\Local Settings\Temp\8569ifaddakramaum.exe 在 12.11.2012  16:54:08
创建

注册表键值: HKU\S-1-5-21-789336058-1708537768-682003330-500\Software\Microsoft\Internet Explorer\Privacy\, 由 C:\Documents and Settings\Administrator\Local Settings\Temp\8569ifaddakramaum.exe 在 12.11.2012  16:54:07
创建

文件: C:\Documents and Settings\Administrator\Application Data\Cyug\oqkue.exe 由 C:\Documents and Settings\Administrator\Local Settings\Temp\8569ifaddakramaum.exe 在 12.11.2012  16:54:06
创建

注册表键值: HKU\S-1-5-21-789336058-1708537768-682003330-500\Software\Microsoft\Otha\, 由 C:\Documents and Settings\Administrator\Local Settings\Temp\8569ifaddakramaum.exe 在 12.11.2012  16:54:04
创建

文件夹: C:\Documents and Settings\Administrator\Application Data\Cyloqu\ 由 C:\Documents and Settings\Administrator\Local Settings\Temp\8569ifaddakramaum.exe 在 12.11.2012  16:54:04
创建

文件: C:\Documents and Settings\Administrator\Application Data\Cyloqu\ivga.kec 由 C:\Documents and Settings\Administrator\Local Settings\Temp\8569ifaddakramaum.exe 在 12.11.2012  16:54:04
创建

文件夹: C:\Documents and Settings\Administrator\Application Data\Lopo\ 由 C:\Documents and Settings\Administrator\Local Settings\Temp\8569ifaddakramaum.exe 在 12.11.2012  16:54:04
创建

文件: C:\Documents and Settings\Administrator\Application Data\Lopo\ydge.ica 由 C:\Documents and Settings\Administrator\Local Settings\Temp\8569ifaddakramaum.exe 在 12.11.2012  16:54:04
创建

文件夹: C:\Documents and Settings\Administrator\Application Data\Cyug\ 由 C:\Documents and Settings\Administrator\Local Settings\Temp\8569ifaddakramaum.exe 在 12.11.2012  16:54:04
创建

文件: C:\Documents and Settings\Administrator\Application Data\Cyug\oqkue.exe 由 C:\Documents and Settings\Administrator\Local Settings\Temp\8569ifaddakramaum.exe 在 12.11.2012  16:54:04
创建

显示全部楼层 · 发表于 2012-12-11 19:50:00

少年。。。发贴不上网址你这是闹哪样

显示全部楼层 · 发表于 2012-12-11 19:50:49

pinsmasks.info/build/agrmix/on2qo2.php

显示全部楼层 · 发表于 2012-12-11 20:02:24

nis2013，拦截网络攻击！

显示全部楼层 · 发表于 2012-12-11 22:07:34

本帖最后由 wjhstu-VxG 于 2012-12-11 22:10 编辑

不是，就一个……

http://46.30.42.91/build/agrmix/rjz4a.php

感谢伟大的PMSWalker~~这个本身就是pe文件……

Malware

Additional (potential) malware:URL Type Hash Analysis
http://46.30.42.91/build/agrmix/rjz4a.php?j=1&k=1 PE32 executable for MS Windows (GUI) Intel 80386 32-bit 4cc39431951175c7502bedbef793f961

显示全部楼层 · 发表于 2012-12-11 22:14:52

wjhstu-VxG 发表于 2012-12-11 22:07
不是，就一个……

http://46.30.42.91/build/agrmix/rjz4a.php

磨洋工

显示全部楼层 · 发表于 2012-12-11 22:17:06

firefox3 发表于 2012-12-11 22:14
磨洋工

你妹啊，千辛万苦才出来的；你是java的早说吗，大神的工具就是好用

又学了一招，努力学习……断网了……

显示全部楼层 · 发表于 2012-12-11 22:18:42

wjhstu-VxG 发表于 2012-12-11 22:17
你妹啊，千辛万苦才出来的；你是java的早说吗，大神的工具就是好用

又学了一招，努力学习…… ...

也不说谢谢我

显示全部楼层 · 发表于 2012-12-11 22:21:32

firefox报。。。

显示全部楼层 · 发表于 2012-12-12 04:24:47

wjhstu-VxG 发表于 2012-12-11 22:07
不是，就一个……

http://46.30.42.91/build/agrmix/rjz4a.php

关闭ips以后浏览器主防的日志

类别：入侵防护
日期和时间,风险,活动,状态,推荐的操作,IPS 警报名称,默认操作,采取的操作,攻击者网址,类别,攻击电脑,目标地址,源地址,通信说明
2012/12/12 4:22:01,高,阻止了一次入侵企图。,已阻止,不需要操作,Web Attack: ProPack Exploit Kit Download,不需要操作,不需要操作,hxxp://pinsmasks.info/build/agrmix/on2qo2.php,,,,,
2012/12/12 4:22:01,高,阻止了一次入侵企图。,已阻止,不需要操作,Web Attack: MDAC RDS Dataspace Code Execution,不需要操作,不需要操作,hxxp://pinsmasks.info/build/agrmix/on2qo2.php,,,,,

[未鉴定] 高危网站被阻断 (更新，关闭网页防护再进毒网，然后就杯具了）

评分