Detection ratio: 2 / 54 Neutrino Exploit Kit 漏洞攻击加密勒索挂马

显示全部楼层 · 发表于 2016-1-1 12:09:24

xiaofeizei 发表于 2016-1-1 11:43
fs 扫描

这报的什么玩意？

显示全部楼层 · 发表于 2016-1-1 12:20:16

墨家小子发表于 2016-1-1 12:07
对比我的截图（有最终连回服务器的地址）看看svchost连到哪里去了
有HMPA不担心被加密文档
你什么系统 ...

自动模式，我把ESET的hips给挖空了不然会冲突

显示全部楼层 · 发表于 2016-1-1 12:38:29

墨家小子发表于 2016-1-1 12:09
这报的什么玩意？

看提示报的后门

显示全部楼层 · 发表于 2016-1-1 12:41:19

断簪发表于 2016-1-1 12:20
自动模式，我把ESET的hips给挖空了不然会冲突

你会不会用hips？还自动模式，你这种程度的以后可别提ESET的hips啊

显示全部楼层 · 发表于 2016-1-1 12:43:00

过管家

显示全部楼层 · 发表于 2016-1-1 12:47:07

诺顿信誉杀，排除后沙盘运行过SONAR，触发 IPS警报

显示全部楼层 · 发表于 2016-1-1 12:49:22

Renascence 发表于 2016-1-1 12:47
诺顿信誉杀，排除后沙盘运行过SONAR，触发 IPS警报

等会我关闭IPS看看

显示全部楼层 · 发表于 2016-1-1 12:49:31

01.01.2016 12.49.22;检测到的对象 ( 文件 ) 已删除。;D:\360安全浏览器下载\rad600E3.tmp\rad600E3.tmp.exe;D:\360安全浏览器下载\rad600E3.tmp\rad600E3.tmp.exe;UDS:DangerousPattern.Multi.Generic;未知威胁;01/01/2016 12:49:22

卡巴杀

显示全部楼层 · 发表于 2016-1-1 12:56:55

Renascence 发表于 2016-1-1 12:47
诺顿信誉杀，排除后沙盘运行过SONAR，触发 IPS警报

你们这些沙盘党给样本区带来的错误结论实在是太多了，建议版主封杀沙盘测试

关闭IPS，全程无痛测试：

文件名: rad69060.tmp.exe
威胁名称: SONAR.SuspBeh!gen3完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间
2016/1/1 ( 12:35:15 )

上次使用时间
2016/1/1 ( 12:35:15 )

启动项目
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

rad69060.tmp.exe 威胁名称: SONAR.SuspBeh!gen3
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
explorer.exe

创建的文件:
rad69060.tmp.exe

____________________________

文件操作

文件: c:\users\AA\desktop\1\ rad69060.tmp.exe 威胁已删除
文件: c:\users\AA\appdata\local\temp\ ~dff6efea85906fbdd9.tmp 威胁已删除
目录: c:\Users\AA\AppData\Roaming\ 77a829663 需要重新启动
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-882639051-1261622828-682048811-1001\Software\Microsoft\Windows\CurrentVersion\ Internet Settings->ProxyEnable:0, 注册表配置单元: 64 位已修复
注册表更改: HKEY_USERS\S-1-5-21-882639051-1261622828-682048811-1001\Software\Microsoft\Windows\CurrentVersion\ Internet Settings->ProxyOverride:<local>, 注册表配置单元: 64 位已修复
注册表更改: HKEY_USERS\S-1-5-21-882639051-1261622828-682048811-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings->AutoConfigURL:http://127.0.0.1:1080/ pac?t=201601011239140266, 注册表配置单元: 64 位已修复
注册表更改: HKEY_USERS\S-1-5-21-882639051-1261622828-682048811-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ Connections->SavedLegacySettings:..., 注册表配置单元: 64 位已修复
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\AA\desktop\1\rad69060.tmp.exe, PID:7916) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ cmd.exe, PID:6868 (执行者 c:\users\AA\desktop\1\rad69060.tmp.exe, PID:7916) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ cmd.exe, PID:8672 (执行者 c:\users\AA\desktop\1\rad69060.tmp.exe, PID:7916) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ explorer.exe, PID:5452 (执行者 c:\users\AA\desktop\1\rad69060.tmp.exe, PID:7916) 未采取操作
事件: 进程启动: c:\users\AA\desktop\1\ rad69060.tmp.exe, PID:7916 (执行者 c:\users\AA\desktop\1\rad69060.tmp.exe, PID:7916) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ svchost.exe, PID:6576 (执行者 c:\users\AA\desktop\1\rad69060.tmp.exe, PID:7916) 未采取操作
____________________________

可疑操作

(执行者 c:\users\AA\desktop\1\rad69060.tmp.exe, PID:7916) 未采取操作
事件: 尝试在进程地址空间内启动远程线程 (执行者 c:\users\AA\desktop\1\rad69060.tmp.exe, PID:7916) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-1-1 12:59:45

TAV 右键miss

入沙失败

[可疑文件] Detection ratio: 2 / 54 Neutrino Exploit Kit 漏洞攻击加密勒索挂马

本帖子中包含更多资源

评分

浏览过的版块

[可疑文件] Detection ratio: 2 / 54 Neutrino Exploit Kit 漏洞攻击 加密勒索挂马

本帖子中包含更多资源

评分

浏览过的版块

[可疑文件] Detection ratio: 2 / 54 Neutrino Exploit Kit 漏洞攻击加密勒索挂马