收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 2014-10-31 - PHISHING EMAIL
12345678下一页
返回列表 发新帖
查看: 6457|回复: 74
收起左侧

[病毒样本] 2014-10-31 - PHISHING EMAIL

  [复制链接]
东方妖妖梦
发表于 2014-11-1 06:42:22 | 显示全部楼层 |阅读模式
本帖最后由 东方妖妖梦 于 2014-11-1 07:41 编辑

http://www.malware-traffic-analysis.net/2014/10/31/index.html

密码:infected

狮子MISS

火眼:http://fireeye.ijinshan.com/anal ... d675&type=1#key

B超:https://b-chao.com/index.php/Ind ... B41B4D675/ajax/demo

哈勃:http://habo.qq.com/file/showdetail?pk=ADwGbl1vB2A=



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Mr_Knight
发表于 2014-11-1 07:25:56 | 显示全部楼层
ESET killed all.
回复

举报

蓝天二号
发表于 2014-11-1 07:35:34 | 显示全部楼层
网址失效了,,,,,,
回复

举报

东方妖妖梦
 楼主| 发表于 2014-11-1 07:41:59 | 显示全部楼层
蓝天二号 发表于 2014-11-1 07:35
网址失效了,,,,,,

莫慌,已传附件
回复

举报

蓝天二号
发表于 2014-11-1 07:52:14 | 显示全部楼层
本帖最后由 蓝天二号 于 2014-11-1 08:11 编辑

实机测试歌德塔 回滚能力,杠杠的
一开始尝试联网,到 荷兰,,,,,,


放行后




隔离区 如下:

启动进程:: notepad.exe
发行商:: 未知发行商


*** 操作 ***

已加壳的程序文件,可能隐藏有恶意代码。
程序正试图建立自启动项,以在系统启动时自动运行。
程序正经过网络建立连接。
程序已在内存中被修改。
程序已创建或已操作可执行文件。
程序进行了自我复制。


*** 隔离区 ***

下列文件被转入隔离区:
C:\Users\MrChenWei\AppData\Local\Temp\nsb9B25.tmp\Letty.dll
C:\Users\MrChenWei\AppData\Local\Temp\nse948D.tmp
C:\Users\MrChenWei\AppData\Local\Temp\nspB052.tmp
C:\Users\MrChenWei\AppData\Local\Temp\nssB70A.tmp\Letty.dll
C:\Users\MrChenWei\AppData\Local\Temp\perfecters\Letty.yt
C:\Users\MrChenWei\AppData\Roaming\Wikimedia\.Identifier
C:\Users\MrChenWei\AppData\Roaming\Wikimedia\wiki.exe
C:\Users\MrChenWei\Desktop\新建文件夹\notepad.exe
c:\users\mrchenwei\appdata\local\temp\nsb9b25.tmp\letty.dll
c:\users\mrchenwei\appdata\local\temp\nse948d.tmp
c:\users\mrchenwei\appdata\local\temp\nspb052.tmp
c:\users\mrchenwei\appdata\local\temp\nssb70a.tmp\letty.dll
c:\users\mrchenwei\appdata\local\temp\perfecters\letty.yt
c:\users\mrchenwei\appdata\roaming\wikimedia\.identifier
c:\users\mrchenwei\appdata\roaming\wikimedia\wiki.exe

下列注册表项被删除:

\REGISTRY\USER\S-1-5-21-2936773073-4027645054-1623234604-1001\Software\Microsoft\Windows\CurrentVersion\Run || Google Chrome

YGLhn5IJLCcnJiYnBy0nKycnJwouJ9tygiknqXAqdJJCJyd0gnArJyknJycIx3KScnJygoAuJycmJicHuWLhn3IG2XJyoC0nJyYmJwfbcnJycmJiwCknKCcnJwf8coJycnJy0CYnKSYmJwmPcnJiYnJy8CwnJycnJgZ3KicHhysnKSYmJwmnKxepNWYrKhepNWYrJxepNWYrCbcnJycmJicHty0nJycnJgbXKScpJiYnCecnJycmJicH5ygnC


其实,主要执行以下几步,注入了一个 google的注册表,,不知道是被劫持的?还是强制安装。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

XywCloud
发表于 2014-11-1 08:20:03 | 显示全部楼层
Baidu Antivirus杀exe
回复

举报

ksss5566
发表于 2014-11-1 08:29:48 | 显示全部楼层
本帖最后由 ksss5566 于 2014-11-1 08:57 编辑

大蜘蛛,解压后,监控干掉exe。

关闭spider guard,双击。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

蓝天二号
发表于 2014-11-1 08:32:28 | 显示全部楼层
ksss5566 发表于 2014-11-1 08:29
大蜘蛛,解压后,监控干掉exe。

10.0版吧,,,求双击测试,,
回复

举报

ksss5566
发表于 2014-11-1 08:35:08 | 显示全部楼层
蓝天二号 发表于 2014-11-1 08:32
10.0版吧,,,求双击测试,,

是10.0,实机,没胆
回复

举报

蓝天二号
发表于 2014-11-1 08:36:41 | 显示全部楼层
ksss5566 发表于 2014-11-1 08:35
是10.0,实机,没胆

看我的 歌德塔 双击,,超级回滚,,,
回复

举报

下一页 »
12345678下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-9-17 11:32 , Processed in 0.141745 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表