本帖最后由 mfkpie8 于 2014-5-2 17:58 编辑
2014-05-02 最新消息 已经解密有些文件大家敬请期待此工具的发布,感谢30来位的网友提供此支持,也非常感谢毒霸公司工程师:
潇洒哥、金山毒霸066 的辛苦,非常感谢!以后看来只使用毒霸了。
总结:对此发生的事件看出一个公司的技术是如何的分别发信给了几大公司对此只有毒霸公司有反应。专业专业
的支持
此病毒会加密xls文件请大家分析下谢谢!
http://fireeye.ijinshan.com/anal ... 1c1&type=1#full
主体病毒
___________________________请加群上传文件打成压缩包加密传到群穿文件名为:QQ你的联系方式或QQ.rar方便第一时间联系
_____________________________
注明以下是病毒作者的勒索信息及支付宝帐号
很遗憾,因为亲试图破解软件,现将给你惩罚,已经严正申明尝试破解软件的后果。
~
请不要试图修复电脑文件,如果确实要自行修复,请复制备份后再尝试修复。
~
否则若软件被二次损坏将不能再修复。
~
~
修复文件,请联系QQ:2051142049
~
~
210176944---12678164
支付宝帐号需要支付他300块才可以解我的加密文件:请大家注意了。[
1587590982@qq.com[/email]
————————
2014-04-27 还在找问题呢第二次我删除了这个病毒但是今天又自动生成被微点给监控到了,在想他的原理 自动会生成的。今天测试了下把一些不知道的 c:\windows
system32\drivers 里面的sys 给重命名禁止启动,再测试这个病毒是怎么又可以自动生成了。躲过了微点与360安全软件
2014-04-27 已经使用http://bbs.duba.net/thread-22953318-1-1.html 不能解密,而且病毒已经躲过360与微点
2014-04-28 不能处理此病毒体 你好可以加我QQ吗?你是如何被中毒的呀。我想知道下,我想查出我是如何被入侵的QQ3011840998
有此病毒 的网友请加群: 200981533
2014-04-28 现在希望大家集中下请问下大家是如何中此毒的,请大家集合下加我QQ3011840998 发现有一个集中的信息是加密文件联系的文件里面有一个代码数字 这个有可能是解开加密的关键点(210176944---12678164)。现在毒霸工程师已经在跟进此病毒,还有一点发现他要不是写硬盘引导,要不是写驱动文件的进行进行守护
2014-04-28 此病毒执行时远程连接:142.4.119.152 (IP)此IP 2014端口尝试中。。。跟踪中。。。。。
得到h t t p : / / w w w . m e i t i a n j i a n . c o m / 1 . a s p
http://dlg8890008.vicp.net/ip.jpg 为跳转IP*142.4.119.152:2014*
有网友的电脑刚中的毒现在发上分析结果
[mw_shl_code=html,true]基本信息
文件名称:updata.exe
MD5:b2707a86f01ff041c5e66c276945dc6f
Sha-1:32074163bf45ae0fa862fa68b4b24da0736361c1
文件大小:2.46MB
创建时间:2014-04-28 21:34:35
文件类型:RAR
火眼点评
启动宿主进程,注入代码,修改EIP执行自己的代码,偷梁换柱,使用户认为是正常的进程;inline Hook 函数入口代码;运行后删除自身,警惕恶意软件;IE 代{过}{滤}理服务器设置;inline hook 自身进程;设置远程线程上下文;搜索指定窗口;设置文件属性;查找文件;创建进程;创建互斥体;在其他进程中申请内存;遍历磁盘类型;创建服务;提升权限
新毒霸点评
经新毒霸云安全中心分析,该文件存在病毒,请及时删除!
危险行为监控
行为描述:inline Hook 函数入口代码
附加信息:Process:server.exe ntdll.dll!LdrAccessResource Ordinal: 49 HookType: InlineHook ntdll.dll!LdrFindResource_U Ordinal: 61 HookType: InlineHook user32.dll!LoadStringA Ordinal: 457 HookType: InlineHook user32.dll!LoadStringW Ordinal: 458 HookType: InlineHook Process:winser.exe ntdll.dll!LdrAccessResource Ordinal: 49 HookType: InlineHook ntdll.dll!LdrFindResource_U Ordinal: 61 HookType: InlineHook user32.dll!LoadStringA Ordinal: 457 HookType: InlineHook user32.dll!LoadStringW Ordinal: 458 HookType: InlineHook
行为描述:启动宿主进程,注入代码,修改EIP执行自己的代码,偷梁换柱,使用户认为是正常的进程
附加信息:%commonprogramfiles%\Microsoft Shared\MSInfo\server.exe%temp%\winser.exeserver.exewinser.exe
行为描述:运行后删除自身,警惕恶意软件
附加信息:
其他行为监控
行为描述:创建互斥体
附加信息:"EDEINCOMOLFUGGJHMPVEMKRJOXCKM@PU""VideoRenderer""eed3bd3a-a1ad-4e99-987b-d7cb3fcfa7f0""server.exe"
行为描述:创建进程
附加信息:%commonprogramfiles%\Microsoft Shared\MSInfo\server.exe%system%\cmd.exe%system%\wscript.exe%temp%\winser.exe
行为描述:查找文件
附加信息:"%USERPROFILE%\桌面\*.*""C:\Program Files""%commonprogramfiles%\Microsoft Shared\MSINFO\server.bat""%commonprogramfiles%\Microsoft Shared\MSINFO\server.exe""%windir%\dlg.ini""%temp%\delay.vbs""%temp%\winser.exe""D:\资料库.txt""Z:\*.*""Z:\0c8091bf130a0ca711de1b4c09f06e2c2c7724f815daba2f306178cb488f70ee7ab2270a\*.*""Z:\0c8091bf130a0ca711de1b4c09f06e2c2c7724f815daba2f306178cb488f70ee7ab2270a\C\*.*""Z:\ModFiles\*.*""Z:\b2707a86f01ff041c5e66c276945dc6f32074163bf45ae0fa862fa68b4b24da0736361c1\*.*""Z:\i386\*.*""Z:\tmp6fxcnk\*.*""Z:\tmp8g5ye3\*.*""Z:\tmph4wgmb\*.*""Z:\tmpkixglk\*.*""Z:\tmpmtndhm\*.*""Z:\tmpoojloq\*.*""Z:\tmppa6d_m\*.*""Z:\tmpruyfyr\*.*""Z:\tmpxkfxa9\*.*""c:\Del.bat"
行为描述:设置文件属性
附加信息:%commonprogramfiles%\Microsoft Shared\MSINFO\server.exe >> SYSTEM%commonprogramfiles%\Microsoft Shared\MSInfo\server.exe >> SYSTEM
行为描述:搜索指定窗口
附加信息:["MS_WINHELP" , ""]
行为描述:设置远程线程上下文
附加信息:%commonprogramfiles%\Microsoft Shared\MSInfo\server.exe%temp%\winser.exe
行为描述:inline hook 自身进程
附加信息:updata.exe ntdll.dll!LdrAccessResource Ordinal: 49 HookType: InlineHook ntdll.dll!LdrFindResource_U Ordinal: 61 HookType: InlineHook USER32.dll!LoadStringA Ordinal: 457 HookType: InlineHook USER32.dll!LoadStringW Ordinal: 458 HookType: InlineHook
行为描述:IE 代{过}{滤}理服务器设置
附加信息:关闭IE代{过}{滤}理服务
行为描述:在其他进程中申请内存
附加信息:%commonprogramfiles%\Microsoft Shared\MSInfo\server.exe%system%\cmd.exe%system%\wscript.exe%temp%\winser.exe
行为描述:遍历磁盘类型
附加信息:C:,A:,B:,D:,E:,F:,G:,H:,I:,J:,K:,L:,M:,N:,O:,P:,Q:,R:,S:,T:,U:,V:,W:,X:,Y:,Z:
行为描述:创建服务
附加信息:%commonprogramfiles%\Microsoft Shared\MSINFO\server.exe -kWinLogoer >> %commonprogramfiles%\Microsoft Shared\MSINFO\server.exe -k
行为描述:提升权限
附加信息:"SeDebugPrivilege"
文件操作监控
操作 文件MD5 文件大小 文件路径
新增 ec4d1eb36b22d19728e9d1d23ca84d1c 4 %windir%\dlg.ini
新增 无 0 C:\tmp.dat
新增 c56cd4a6b80d412090804370a9072232 1341581 %commonprogramfiles%\Microsoft Sha...
释放后删除 b18cd54e39a85ae2f4e95e1c87ab96a4 105 C:\del.bat
释放后删除 b2707a86f01ff041c5e66c276945dc6f 2584576 %ProgramFiles%\updata.exe
释放后删除 5ccc803b59fdbcdea8fd7510e8d0fc04 18 %temp%\delay.vbs
释放后删除 4a03a0bcefa00ad092fe1d9f34af57e4 86 %commonprogramfiles%\Microsoft Sha...
释放后删除 c56cd4a6b80d412090804370a9072232 1341581 %temp%\WinSer.exe
进程操作监控
创建进程:无
启动参数:c:\del.bat
创建进程:无
启动参数:%temp%\winser.exe
创建进程:%temp%\delay.vbs
启动参数:无
创建进程:%system%\wscript.exe
启动参数:"%system%\WScript.exe" "%temp%\delay.vbs"
创建进程:%temp%\delay.vbs
启动参数:%temp%\delay.vbs
创建进程:无
启动参数:%commonprogramfiles%\microsoft shared\msinfo\server.exe
创建进程:无
启动参数:%commonprogramfiles%\microsoft shared\msinfo\server.exe
创建进程:无
启动参数:%commonprogramfiles%\Microsoft Shared\MSINFO\server.bat
创建进程:无
启动参数:%temp%\winser.exe
新增删除修改 注册表监控
HKEY_CURRENT_USER\Software
[1083523182] = [0x00000017]
HKEY_LOCAL_MACHINE\SOFTWARE\Adobe
HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\RemoteNotes
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinLogoer
[ErrorControl] = [0x00000000]
[ImagePath] = [%commonprogramfiles%\Microsoft Shared\MSINFO\server.exe -k]
[DisplayName] = [WinLogo]
[Description] = [System login service disable this service system may not be able]
[Start] = [0x00000002]
[ObjectName] = [LocalSystem]
[Type] = [0x00000110]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinLogoer\Security
[Security] = [\x01\x00\x14\x80\x90...]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinLogoer
[ImagePath] = [%commonprogramfiles%\Microsoft Shared\MSINFO\server.exe -k]
[ObjectName] = [LocalSystem]
[Start] = [0x00000002]
[DisplayName] = [WinLogo]
[ErrorControl] = [0x00000000]
[Type] = [0x00000110]
[Description] = [System login service disable this service system may not be able]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinLogoer\Security
[Security] = [\x01\x00\x14\x80\x90...]
网络监控
网络操作
[Connect HOST]0.0.0.0:2014
[HTTP Request]GET dlg8890008.vicp.net/ip.jpg
[Open URL]
[Open URL]0.0.0.0
[Open URL]8.39.134.86
[Open URL]dlg8890008.vicp.net[/mw_shl_code]
|
发表于 2014-4-26 17:02:40
楼主
