最新样本！加超级强壳的木马!

显示全部楼层 · 发表于 2015-11-10 09:09:06

mcafee miss

显示全部楼层 · 发表于 2015-11-10 10:34:55

大蜘蛛 MISS

显示全部楼层 · 发表于 2015-11-10 11:35:46

国外的，似乎过了很多。

显示全部楼层 · 发表于 2015-11-10 12:14:48

双击过诺顿，下载回来二十多个文件，诺顿扫描能检测到，但监控不到！

文件名: 00019169.tmp
威胁名称: Trojan.Panddos完整路径: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\00019169.tmp

____________________________

____________________________

在电脑上的创建时间
2015-11-10 ( 12:04:08 )

上次使用时间
2015-11-10 ( 12:09:51 )

启动项目
否

已启动
否

威胁类型: 病毒。将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________

00019169.tmp 威胁名称: Trojan.Panddos
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
00019169.tmp

____________________________

文件操作

受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00019169.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00009961.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00004827.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00016827.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00000491.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00009624.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00005705.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00000544.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00023281.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00005980.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00012642.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00002995.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00024464.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00014039.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00006904.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00026962.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00014909.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00026272.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00028145.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00029358.tmp 已删除
受感染文件: c:\users\administrator\appdata\roaming\c751f9146c0874dd07b879e1e46494d3\ 00032766.tmp 已删除
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2015-11-10 12:48:07

双击熊猫杀了个释放的文件，联网动作给我断了。毕竟实机

显示全部楼层 · 发表于 2015-11-10 13:02:27

本帖最后由 windows7爱好者于 2015-11-10 13:03 编辑

SSF

显示全部楼层 · 发表于 2015-11-10 16:07:53

MD拦截样本[图片.com]如下：
1、添加文件启动项c:\users\ljx\appdata\roaming\microsoft\windows\start menu\programs\startup\*.ink

2\2010/1/1 00:23:50 底层磁盘写操作阻止并结束进程
进程: c:\users\ljx\desktop\图片.com
目标: \Device\Ide\IdePort0
规则: [应用程序组]系统-命令行滤网《首道滤网》 ————！！！

2010/1/1 00:27:28 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\WINDOWS\system32\cmd.exe" /c 图片.com
规则: [应用程序组]绝密保护组勾选【保护此进程不被其他进程存取和控制】 -> [应用程序]c:\windows\explorer.exe -> [子应用程序]c:\windows\system32\cmd.exe

2010/1/1 00:27:29 向其他进程复制句柄允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\cmd.exe
句柄: (Event) 0x000000BC
规则: [应用程序组]★系统-系统程序组(WIN7系统)★ 5 -> [应用程序]c:\windows\system32\conhost.exe -> [目标应用程序]c:\windows\system32\cmd.exe

2010/1/1 00:27:29 创建新进程阻止并结束进程
进程: c:\windows\system32\cmd.exe
目标: c:\users\ljx\desktop\图片.com
命令行: 图片.com
规则: [应用程序组]%系统程序-高危禁运-《询问》

显示全部楼层 · 发表于 2015-11-10 18:01:34

你吧卡巴规则设置下启动项提示就直接团灭他。

显示全部楼层 · 发表于 2015-11-10 19:38:05

本帖最后由毛豆新人于 2015-11-10 20:39 编辑

CIS右键入沙后，主防未能识别，样本直接磁盘访问被拦截，木马未能进入实机。已上报

动作：
1.在C:\VTRoot\HarddiskVolume1\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup下添加c751f9146c0874dd07b879e1e46494d3.lnk
2.在C:\VTRoot\HarddiskVolume1\Users\Administrator\AppData\Roaming\下添加c751f9146c0874dd07b879e1e46494d3文件夹，并伪装成受保护的系统文件且被隐藏，内含（且仅有）crossfiew.exe和release.dll，没有临时文件
3.请求联网，但是下行流量很小

显示全部楼层 · 发表于 2015-11-10 19:52:42

感谢楼主以上附上哈勃文件分析报告 http://habo.qq.com/file/showdetail?pk=ADQGZl1sB2IIOVs4

[病毒样本] 最新样本！加超级强壳的木马!

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

评分

本帖子中包含更多资源

评分