Detection ratio: 2 / 54 Neutrino Exploit Kit 漏洞攻击 加密勒索挂马

墨家小子

我也是醉了，说声纳没有反应，说HMPA没有反应，每天打脸都打不过来，找点新鲜的样本来玩，每次都碰到莫名其妙的人，双击前问问自己会不会玩，能不能行了？



文件名: rad69060.tmp.exe
威胁名称: SONAR.SuspBeh!gen3完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间?
2016/1/1 ( 12:35:15 )

上次使用时间?
2016/1/1 ( 12:35:15 )

启动项目?
否

已启动?
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


rad69060.tmp.exe 威胁名称: SONAR.SuspBeh!gen3
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
explorer.exe

创建的文件:
rad69060.tmp.exe

____________________________

文件操作

文件: c:\users\AA\desktop\1\ rad69060.tmp.exe 威胁已删除
文件: c:\users\AA\appdata\local\temp\ ~dff6efea85906fbdd9.tmp 威胁已删除
目录: c:\Users\AA\AppData\Roaming\ 77a829663 需要重新启动
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-882639051-1261622828-682048811-1001\Software\Microsoft\Windows\CurrentVersion\ Internet Settings->ProxyEnable:0, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-882639051-1261622828-682048811-1001\Software\Microsoft\Windows\CurrentVersion\ Internet Settings->ProxyOverride:<local>, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-882639051-1261622828-682048811-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings->AutoConfigURL:http://127.0.0.1:1080/ pac?t=201601011239140266, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-882639051-1261622828-682048811-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ Connections->SavedLegacySettings:..., 注册表配置单元: 64 位 已修复
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\AA\desktop\1\rad69060.tmp.exe, PID:7916) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ cmd.exe, PID:6868 (执行者 c:\users\AA\desktop\1\rad69060.tmp.exe, PID:7916) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ cmd.exe, PID:8672 (执行者 c:\users\AA\desktop\1\rad69060.tmp.exe, PID:7916) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ explorer.exe, PID:5452 (执行者 c:\users\AA\desktop\1\rad69060.tmp.exe, PID:7916) 未采取操作
事件: 进程启动: c:\users\AA\desktop\1\ rad69060.tmp.exe, PID:7916 (执行者 c:\users\AA\desktop\1\rad69060.tmp.exe, PID:7916) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ svchost.exe, PID:6576 (执行者 c:\users\AA\desktop\1\rad69060.tmp.exe, PID:7916) 未采取操作
____________________________

可疑操作

(执行者 c:\users\AA\desktop\1\rad69060.tmp.exe, PID:7916) 未采取操作
事件: 尝试在进程地址空间内启动远程线程 (执行者 c:\users\AA\desktop\1\rad69060.tmp.exe, PID:7916) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

墨家小子

ericdj 发表于 2016-1-1 12:59
TAV 右键miss

入沙失败

注意提升品位，OK？

ericdj

墨家小子 发表于 2016-1-1 13:08
注意提升品位，OK？

在下一淼货……

坚决不实机测

开开心心卖手机

TR/Crypt.XPACK.Gen9 (Cloud)

xuan1xuan

文件名: rad600e3.tmp.exe
威胁名称: WS.Reputation.1完整路径: c:\users\one\desktop\rad600e3.tmp.exe

____________________________

____________________________


在电脑上的创建时间&nbsp;
2016/1/1 ( 13:07:20 )

上次使用时间&nbsp;
2016/1/1 ( 13:09:20 )

启动项目&nbsp;
否

已启动&nbsp;
否

威胁类型: 智能网络威胁。 很多迹象表明此文件不可信任，不安全

____________________________


rad600e3.tmp.exe 威胁名称: WS.Reputation.1
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

中
此文件具有中等程度风险。


____________________________


https://att.kafan.cn/forum.php?mo ... Dk0NTY4NXwxODczMzI0
已下载文件 rad600e3.tmp.exe 威胁名称: WS.Reputation.1
从 att.kafan.cn
来源: 外部介质

rad600e3.tmp.exe

____________________________

文件操作

文件: c:\users\one\desktop\ rad600e3.tmp.exe 已删除
____________________________


文件指纹 - SHA:
8b77d9d04473b112eb572792759c6bddad7527bdc34dc0f03783d78b236701ad
文件指纹 - MD5:
不可用

275751198

―――――――――――――――――――――――
程序名称：svchost.exe
程序说明：Windows 服务主进程
路径：C:\Windows\System32\svchost.exe
安全等级：安全
PID：2024
网络协议：TCP
本机地址：60.16.147.220
本地端口：51468
目标地址：78.153.216.31
目标端口：80
目标IP归属地：
状态：同步发送

网络连接信息由360安全卫士 – 网络连接查看器生成
―――――――――――――――――――――――

―――――――――――――――――――――――
程序名称：System Idle Process(系统进程)
程序说明：系统核心虚拟进程，用来表示系统的空闲状态，这个数值越大CPU的空闲率就越高，反之就是CPU的占用率越高。
路径：System Idle Process(系统进程)
安全等级：安全
PID：0
网络协议：TCP
本机地址：60.16.147.220
本地端口：51459
目标地址：202.46.129.104
目标端口：80
目标IP归属地：印度尼西亚 Institut Teknologi Sepuluh Nopember
状态：已关闭

网络连接信息由360安全卫士 – 网络连接查看器生成
―――――――――――――――――――――――

墨家小子

xuan1xuan 发表于 2016-1-1 13:09
文件名: rad600e3.tmp.exe
威胁名称: WS.Reputation.1完整路径: c:%users\one\desktop\rad600e3.tmp.exe
...

别这么玩诺顿好么，遇到这种情况，还原一下，然后虚拟机双击
万物杀有意思么？

墨家小子

275751198 发表于 2016-1-1 13:09
―――――――――――――――――――――――
程序名称：svchost.exe
程序说明：Windows 服务主进程
...

然后你没挂VPN也没开SS，所以木马连不回服务器，也就没加密你的文档，是么？

墨家小子

275751198 发表于 2016-1-1 13:09
―――――――――――――――――――――――
程序名称：svchost.exe
程序说明：Windows 服务主进程
...

换了一个服务器？？？

275751198

墨家小子 发表于 2016-1-1 13:19
然后你没挂VPN也没开SS，所以木马连不回服务器，也就没加密你的文档，是么？

可能吧，我难道要感谢G{过}F{滤}W嘛 。。。。。。