File name: syshost.exe Detection ratio: 3 / 54 Neutrino Exploit Kit 挂马

显示全部楼层 · 发表于 2015-12-31 14:13:36

SHA256: ae41a40ba9b8936157e4589b1f3a730a1463bf099ee344885200ab5b54428f1c
File name: syshost.exe
Detection ratio: 3 / 54
Analysis date: 2015-12-31 06:05:46 UTC ( 1 minute ago )
https://www.virustotal.com/en/fi ... nalysis/1451541946/

一不留神忘记开启SSF的系统防护让这匹小马加载服务项，还差点注册驱动了江湖险恶啊

2015/12/31 14:03:18,C:\Windows\Installer\{F435B5DB-8332-202B-7C55-5BB35BFB0EBB}\syshost.exe,53,Allowed ;执行应用程序 (C:\windows\system32\svchost.exe)

2015/12/31 14:03:50,C:\windows\system32\drivers\37a453d.sys,39,Blocked ;注册驱动程序或服务（这一步允许了，影子必须导致系统蓝屏）

显示全部楼层 · 发表于 2015-12-31 14:15:50

费尔动态防御拦截

显示全部楼层 · 发表于 2015-12-31 15:21:23

Win32.Trojan.WisdomEyes.150615.9950.9968.bav

显示全部楼层 · 发表于 2015-12-31 15:23:07

文件名: syshost.exe
威胁名称: SONAR.Heuristic.120完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间
2015-12-31 ( 15:10:43 )

上次使用时间
2015-12-31 ( 15:10:43 )

启动项目
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

syshost.exe 威胁名称: SONAR.Heuristic.120
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
syshost.exe

____________________________

文件操作

文件: f:\norton样本\临时收集\ syshost.exe 威胁已删除
目录: c:\windows\installer\ {f10ff898-0e9b-ef71-179b-7689f77fccb5} 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\syshost.exe, PID:5164) 未采取操作
事件: PE 文件创建: c:\windows\installer\{f10ff898-0e9b-ef71-179b-7689f77fccb5}\ syshost.exe (执行者 f:\norton样本\临时收集\syshost.exe, PID:5164) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ syshost.exe, PID:5164 (执行者 f:\norton样本\临时收集\syshost.exe, PID:5164) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2015-12-31 15:34:26

31.12.2015 15.34.21;检测到的对象 ( 文件 ) 已删除。;D:\360安全浏览器下载\syshost\syshost.exe;WinRAR 压缩文件管理器;D:\360安全浏览器下载\syshost\syshost.exe;12/31/2015 15:34:21;UDS:DangerousObject.Multi.Generic

显示全部楼层 · 发表于 2015-12-31 16:26:15

管家阻止下载

显示全部楼层 · 发表于 2015-12-31 18:58:46

胖福发表于 2015-12-31 15:23
文件名: syshost.exe
威胁名称: SONAR.Heuristic.120完整路径: 不可用

我第一次用诺顿双击这个样本的时候，直接蓝屏，因为在双击前，我用SSF看了一遍，没有加驱的行为，所以才双击，实际上样本确实加驱了（这一次阴差阳错SSF拦截到样本加驱），所以导致影子重启蓝屏
结论就是：诺顿一次遭遇这个样本的时候完败

显示全部楼层 · 发表于 2015-12-31 19:03:31

本帖最后由 pal家族于 2015-12-31 19:05 编辑

重复测试，卡巴入库
卡巴斯基安全软件
拒绝访问
无法访问该网页

对象 URL :

https://att.kafan.cn/forum.php?mo ... Dk3NTc3MnwxODczMTYy

原因 :

对象感染源 Trojan-Dropper.Win32.Necurs.zvr
消息生成日期 : 2015/12/31 19:03:19

http://www.microsoft.com/securit ... 2/Necurs#tab-link-3

显示全部楼层 · 发表于 2015-12-31 19:08:16

pal家族发表于 2015-12-31 19:03
重复测试，卡巴入库
卡巴斯基安全软件
拒绝访问

这种东西没有虚拟机坚决不敢双击的，加驱就完蛋了

显示全部楼层 · 发表于 2015-12-31 19:11:12

墨家小子发表于 2015-12-31 19:08
这种东西没有虚拟机坚决不敢双击的，加驱就完蛋了

嗯嗯~~
还好有惊无险，娘娘快喝瓶82年的雪碧压压惊

[可疑文件] File name: syshost.exe Detection ratio: 3 / 54 Neutrino Exploit Kit 挂马

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源