2014-10-31 - PHISHING EMAIL

马云波波波

比特梵德拦截。

幽冥の龙

蓝天二号 发表于 2014-11-1 08:32
10.0版吧，，，求双击测试，，

看你们双击玩的不亦乐乎，我也忍不住了
试了下费尔的双击

双击后 动态防御拦截，放行后就没反应了……

进程里多了一个wiki.exe

但找不到你 回滚的那些东西……

不甘心啊，根据你的路径 自己手动又去双击了下 wiki.exe

结果费尔动态防御再次拦截

点清除后回滚了这些东西




这什么情况，难道第一次 wiki.exe在进程里但并没有发作么……

事后找了下似乎没有别的残留了

蓝天二号

幽冥の龙 发表于 2014-11-1 16:28
看你们双击玩的不亦乐乎，我也忍不住了
试了下费尔的双击

费尔的 动态防御是连接虚拟机的，黑盒 模拟了一个虚拟环境运行的..

fuzhk

Renascence 发表于 2014-11-1 15:23
解压诺顿文件智能分析杀了exe

文件名: notepad.exe
威胁名称: SONAR.SelfHijack!gen1
完整路径: 不可用

____________________________



详细信息
极少用户信任的文件,  极新的文件,  风险 高





原始
下载自
 未知





活动
已执行的操作: 10



____________________________



在电脑上的创建时间 
2014/11/1 ( 17:51:24 )


上次使用时间 
2014/11/1 ( 17:51:24 )


启动项目 
否


已启动 
是


____________________________


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。



____________________________



来源: 外部介质



源文件:
360zip.exe




创建的文件:
notepad.exe




____________________________

文件操作

文件: f:\infected\2014-10-31-phishing-malware\ notepad.exe 已删除
文件: c:\sandbox\toshiba\defaultbox\user\current\appdata\local\temp\perfecters\ letty.yt 已删除
事件: 正在运行进程: f:\infected\2014-10-31-phishing-malware\ notepad.exe 已终止
目录: c:\Sandbox\TOSHIBA\defaultbox\user\current\AppData\Local\Temp\ nseCA42.tmp 需要重新启动
目录: c:\sandbox\toshiba\defaultbox\user\current\appdata\local\temp\ perfecters 已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\infected\2014-10-31-phishing-malware\notepad.exe, PID:5768) 未采取操作
(执行者 f:\infected\2014-10-31-phishing-malware\notepad.exe, PID:5768) 未采取操作
事件: PE 文件创建: c:\Sandbox\TOSHIBA\defaultbox\user\current\AppData\Local\Temp\nseCA42.tmp\ Letty.dll (执行者 f:\infected\2014-10-31-phishing-malware\notepad.exe, PID:5768) 未采取操作
事件: 进程启动: f:\infected\2014-10-31-phishing-malware\ notepad.exe, PID:6116 (执行者 f:\infected\2014-10-31-phishing-malware\notepad.exe, PID:5768) 未采取操作
事件: 进程启动: f:\infected\2014-10-31-phishing-malware\ notepad.exe, PID:5768 (执行者 f:\infected\2014-10-31-phishing-malware\notepad.exe, PID:5768) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

ksss5566

蓝天二号 发表于 2014-11-1 11:11 我想说，蜘蛛做 动/静态启发，，还不如国内的 费尔，个人感觉是真心不如，，，

肯定不如。比费尔好的很少。蜘蛛这个才刚上路呢。费尔最大的不足是公司在中国，做大的难度太大了。

蓝天二号

ksss5566 发表于 2014-11-1 18:59
肯定不如。比费尔好的很少。蜘蛛这个才刚上路呢。费尔最大的不足是公司在中国，做大的难度太大了。

房子是造在中国，，但 服务器基本在国外，，

潜龙在渊1022 发表于 2014-11-1 09:10
fscs，扫描不报。

FSCS:DG拦截

挥泪斩情思

ksss5566 发表于 2014-11-1 08:29
大蜘蛛，解压后，监控干掉exe。

关闭spider guard，双击。

已经入库的就没必要测双击了

测双击要测扫描不报的样本，另外，最好弄个虚拟机   安全起见

ksss5566

挥泪斩情思 发表于 2014-11-1 21:18
已经入库的就没必要测双击了

测双击要测扫描不报的样本，另外，最好弄个虚拟机   安全起见

谢谢提醒，必须是虚拟机。
如果入库的DPH也报，我这个双击确实没价值了。我只是考虑，入库的，DPH是否也不一定能报。

ksss5566

蓝天二号 发表于 2014-11-1 19:09
房子是造在中国，，但 服务器基本在国外，，

主要挣国外的钱？？我不了解这些。