两个CVE-2015-5122和两个下载物，下载物质量一般【2015.12.31】

驭龙

应该是两个Exploit Kit 好像是CVE-2015-5122，以及两个下载物，好像可能是Yakes

样本密码：infected
样本包：

蓝天二号

GD 拿下两个 EXE

sodium

31.12.2015 10.25.46;检测到的对象（文件）已移动至隔离区。;F:\卡饭专区\小包\2015-12-31-malware\Rig-EK-flash-exploit (1).exe;WinRAR 压缩文件管理器;F:\卡饭专区\小包\2015-12-31-malware\Rig-EK-flash-exploit (1).exe;12/31/2015 10:25:46;Trojan.Win32.Yakes.oejy
31.12.2015 10.25.45;检测到的对象（文件）已移动至隔离区。;F:\卡饭专区\小包\2015-12-31-malware\Rig-EK-flash-exploit (2).exe;WinRAR 压缩文件管理器;F:\卡饭专区\小包\2015-12-31-malware\Rig-EK-flash-exploit (2).exe;12/31/2015 10:25:45;Trojan.Win32.Bublik.ebmn


卡巴杀掉两个exe

欧阳宣

百度miss

EnZhSTReLniKoVa

WD 全收了

edachen

老大，你现在本机用的还是wd吗

驭龙

edachen 发表于 2015-12-31 13:06
老大，你现在本机用的还是wd吗

不是，我现在在玩TrendMicro个人版

墨家小子

不是质量一般，你是的样本出来时间长了点，都入库了

HMPA：



SSF：

2015/12/31 13:25:48,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AAA\Desktop\1\2015-12-31-malware\Rig-EK-flash-exploit (2).exe" )

2015/12/31 13:25:51,C:\Users\AAA\Desktop\1\2015-12-31-malware\Rig-EK-flash-exploit (2).exe,53,Allowed ;执行应用程序 ("C:\Windows\System32\cscript.exe" C:\Users\AAA\AppData\Local\Temp\xvmvykydhfmymjmzbbq.vbs)

2015/12/31 13:25:51,C:\Windows\SysWOW64\cscript.exe,53,Allowed ;执行应用程序 (\??\C:\windows\system32\conhost.exe 0xffffffff)

2015/12/31 13:25:51,C:\Windows\System32\conhost.exe,40,Allowed ;以修改权限打开进程或线程 (cscript.exe(pid=6768))

2015/12/31 13:25:54,C:\Users\AAA\Desktop\1\2015-12-31-malware\Rig-EK-flash-exploit (2).exe,53,Allowed ;执行应用程序 (C:\Users\AAA\AppData\Roaming\Microsoft\Rgdakepog\rgdakepo.exe)

2015/12/31 13:25:57,C:\Users\AAA\AppData\Roaming\Microsoft\Rgdakepog\rgdakepo.exe,53,Allowed ;执行应用程序 (C:\windows\SysWOW64\explorer.exe)

2015/12/31 13:25:59,C:\Windows\SysWOW64\explorer.exe,40,Blocked ;以修改权限打开进程或线程 (esif_assist.exe(pid=6916))

2015/12/31 13:26:01,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,ShadowsocksR_1829439101)

2015/12/31 13:26:02,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,IDMan)

2015/12/31 13:26:03,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,aetfbzf)

2015/12/31 13:26:37,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,ShadowsocksR_1829439101)

2015/12/31 13:26:38,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,IDMan)

2015/12/31 13:26:39,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,alujtxoh)

驭龙

墨家小子 发表于 2015-12-31 13:31
不是质量一般，你是的样本出来时间长了点，都入库了

HMPA：

是啊 ，这东西不是新的。

不过话说HMPA效果真的好，真的是神器啊

墨家小子

驭龙 发表于 2015-12-31 13:36
是啊 ，这东西不是新的。

不过话说HMPA效果真的好，真的是神器啊

HMPA好像对于注入调用系统程序什么的很敏感，在试用中，怕跟诺顿的IPS有冲突，每次进挂马网页都是IPS先发制人，对那些恶意代码注入的诺顿声纳暂时防御不了的HMPA效果确实不错