CVE-2014-1776 (14L, 24L, 34L, 40L 更新)

显示全部楼层 · 发表于 2014-5-1 13:44:16

风险类型溢出程序
flash类型

显示全部楼层 · 发表于 2014-5-1 14:12:13

文件名: d7a87f6e6c7f864768b1ab29f6d9a5114f23d55ce00ff85e40137ab8da4e1a7b.exe
威胁名称: SONAR.Heuristic.120
完整路径: 不可用

____________________________

详细信息
极少用户信任的文件, 极新的文件, 风险高

原始
下载自
未知

活动
已执行的操作: 6

____________________________

在电脑上的创建时间
2014/5/1 ( 14:04:33 )

上次使用时间
2014/5/1 ( 14:04:33 )

启动项目
否

已启动
是

____________________________

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

来源: 外部介质

源文件:
d7a87f6e6c7f864768b1ab29f6d9a5114f23d55ce00ff85e40137ab8da4e1a7b.exe

____________________________

文件操作

文件: c:\users\administrator\desktop\ d7a87f6e6c7f864768b1ab29f6d9a5114f23d55ce00ff85e40137ab8da4e1a7b.exe 已删除
文件: c:\users\administrator\appdata\roaming\microsoft\windows\start menu\programs\startup\ x.exe 已删除
____________________________

网络操作

事件: 网络活动 (执行者 c:\users\administrator\desktop\d7a87f6e6c7f864768b1ab29f6d9a5114f23d55ce00ff85e40137ab8da4e1a7b.exe, PID:3428) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\administrator\desktop\d7a87f6e6c7f864768b1ab29f6d9a5114f23d55ce00ff85e40137ab8da4e1a7b.exe, PID:3428) 未采取操作
事件: PE 文件创建: c:\sandbox\administrator\defaultbox\user\current\appdata\roaming\microsoft\windows\start menu\programs\startup\ x.exe (执行者 c:\users\administrator\desktop\d7a87f6e6c7f864768b1ab29f6d9a5114f23d55ce00ff85e40137ab8da4e1a7b.exe, PID:3428) 未采取操作
事件: 进程启动: c:\users\administrator\desktop\ d7a87f6e6c7f864768b1ab29f6d9a5114f23d55ce00ff85e40137ab8da4e1a7b.exe, PID:3428 (执行者 c:\users\administrator\desktop\d7a87f6e6c7f864768b1ab29f6d9a5114f23d55ce00ff85e40137ab8da4e1a7b.exe, PID:3428) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2014-5-1 17:58:53

qianwenxiang 发表于 2014-5-1 13:37
赞！！多谢分享!话说是不是配套还有个HTML的？
手头的分析指引里面缺了好几块重要代码。。本地试了大半天 ...

应该是有的，但没找到。。。。

显示全部楼层 · 发表于 2014-5-1 17:59:40

44439b7924eec5bf28634065d12ab12e

https://www.virustotal.com/file/ ... 48518d83d/analysis/

显示全部楼层 · 发表于 2014-5-1 20:25:56

hx1997 发表于 2014-5-1 17:58
应该是有的，但没找到。。。。

如此之屌。。给跪了这个时间段。。关系户才能拖到样本啊= =

显示全部楼层 · 发表于 2014-5-1 20:29:06

hx1997 发表于 2014-5-1 17:59
44439b7924eec5bf28634065d12ab12e

https://www.virustotal.com/file/28571b79fe61c33ac3270de1c1aa56d2 ...

To Dr.Web

[drweb.com #4705333]

显示全部楼层 · 发表于 2014-5-1 20:56:51

卡巴斯基删除

显示全部楼层 · 发表于 2014-5-1 21:38:48

hx1997 发表于 2014-5-1 17:59
44439b7924eec5bf28634065d12ab12e

https://www.virustotal.com/file/28571b79fe61c33ac3270de1c1aa56d2 ...

卡巴斯基
恶意软件

显示全部楼层 · 发表于 2014-5-1 22:03:30

https://www.virustotal.com/en/fi ... 1c97b2c69/analysis/

楼主发的这个外层的有8家能检出(当然国内还是只有360能检出）

不过解压出来真正包含漏洞的内层这个：
https://www.virustotal.com/en/fi ... 48518d83d/analysis/

目前还只有小红伞卡巴微软和sophos还有360这5家能检出啊。

楼主是hx163？有VT API帐号？还是哪家工作人员。

显示全部楼层 · 发表于 2014-5-1 22:07:34

本帖最后由 vdmcontrol 于 2014-5-1 22:13 编辑

360Tencent 发表于 2014-5-1 10:17
http://www.sophos.com/en-us/thre ... j~SWFExp-CV/detaile ...

avira的还行，确实是AS的特征，虽然可能是启发的其它特征跟漏洞没关系，这个漏洞和上次雪人的tope一个家族,swf脚本名字都一样，特征相似度很高，能启发不稀奇。

avast就真不行了，貌似是md5拉黑，脱了一层报不出来了。

360和MSE是相当靠谱的，能检测AS脚本并解析出代码报出漏洞本质

不过MSE当然威武啊，这个漏洞就是fireeye报给微软的，第一时间啥都有了，其它厂商还在抓瞎~

[病毒样本] CVE-2014-1776 (14L, 24L, 34L, 40L 更新)

本帖子中包含更多资源

评分

评分