声纳没反应系列之2016.1.1 SSF测试帖 样本重复

墨家小子

懵逼了，跟这个帖子的样本一样的：http://bbs.kafan.cn/thread-1873431-1-1.html，就当是SSF的测试回复吧

服了，这么大的动静，没反应呢？我擦，居然还是Web Attack: Angler Exploit Kit Website 20，这么差的质量居然是AEK出品？难道我搞错了？

明天再抓几个试试，都保留下来，看看声纳什么时候能杀！！

测试者灰常心痛的用诺顿的启动管理器看了一下，嗷的一声我就昏过去了~~



2016/1/1 22:33:31,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\Desktop\1\8CB6.exe" )

2016/1/1 22:33:36,C:\Users\AA\Desktop\1\8CB6.exe,53,Allowed ;执行应用程序 ("C:\Windows\System32\cscript.exe" C:\Users\AA\AppData\Local\Temp\llimiregqjgplfy.vbs)

2016/1/1 22:33:36,C:\Windows\SysWOW64\cscript.exe,53,Allowed ;执行应用程序 (\??\C:\windows\system32\conhost.exe 0xffffffff)

2016/1/1 22:33:36,C:\Windows\System32\conhost.exe,40,Allowed ;以修改权限打开进程或线程 (cscript.exe(pid=5668))

2016/1/1 22:33:39,C:\Users\AA\Desktop\1\8CB6.exe,53,Allowed ;执行应用程序 (C:\Users\AA\AppData\Roaming\Microsoft\Rgdakepog\rgdakepo.exe)

2016/1/1 22:33:42,C:\Users\AA\AppData\Roaming\Microsoft\Rgdakepog\rgdakepo.exe,53,Allowed ;执行应用程序 (C:\windows\SysWOW64\explorer.exe)

2016/1/1 22:33:44,C:\Windows\SysWOW64\explorer.exe,40,Blocked ;以修改权限打开进程或线程 (explorer.exe(pid=4176))

2016/1/1 22:33:45,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,IDMan)

2016/1/1 22:33:47,C:\Windows\SysWOW64\explorer.exe,50,Allowed ;使用 DNS 解析服务访问网络

2016/1/1 22:33:48,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,oivis)

2016/1/1 22:33:50,C:\Windows\SysWOW64\explorer.exe,51,Blocked ;进程间通信 (TaskScheduler)

2016/1/1 22:33:51,C:\Windows\SysWOW64\explorer.exe,53,Blocked ;执行应用程序 ("C:\windows\system32\schtasks.exe" /create /tn {13DC941F-467C-4158-AB7E-A63D8BD129DB} /tr "cmd.exe /C \"start /MIN C:\windows\system32\cscript.exe //E:javascript \"C:\Users\AA\AppData\Local\Microsoft\rgdakepo.wpl\"\"" /sc HOURLY /mo 15 /F)

2016/1/1 22:33:53,C:\Windows\SysWOW64\explorer.exe,48,Blocked ;出站网络访问

2016/1/1 22:33:55,C:\Windows\SysWOW64\explorer.exe,53,Blocked ;执行应用程序 ("C:\windows\system32\schtasks.exe" /create /tn {216D9A49-4DA3-4EDE-861C-2BBD4787B879} /tr "\"C:\Users\AA\AppData\Roaming\Microsoft\Rgdakepog\rgdakepo.exe\"" /sc HOURLY /mo 7 /F)

pal家族

01.01.2016 22.40.16;检测到的对象 ( 文件 ) 已删除。;D:\360安全浏览器下载\8CB6\8CB6.tmp;WinRAR 压缩文件管理器;D:\360安全浏览器下载\8CB6\8CB6.tmp;01/01/2016 22:40:16;UDS:DangerousObject.Multi.Generic

电脑发烧友

即使没人看

潘中医

火绒行为杀

Miostartos

文件名: 8cb6.tmp
威胁名称: WS.Reputation.1完整路径: d:\test\8cb6.tmp

____________________________

____________________________


在电脑上的创建时间 
2016/1/1 星期五 ( 22:48:35 )

上次使用时间 
2016/1/1 星期五 ( 22:50:36 )

启动项目 
否

已启动 
否

威胁类型: 智能网络威胁。 很多迹象表明此文件不可信任，不安全

____________________________


8cb6.tmp 威胁名称: WS.Reputation.1
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

中
此文件具有中等程度风险。


____________________________


https://att.kafan.cn/forum.php?mo ... DkyMjgwMnwxODczNDUz
已下载文件 8cb6.tmp 威胁名称: WS.Reputation.1
从 att.kafan.cn
来源: 外部介质


____________________________

文件操作

文件: d:\test\ 8cb6.tmp 已删除
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

nick20010117

墨家小子

STCn1000 发表于 2016-1-1 22:58
文件名: 8cb6.tmp
威胁名称: WS.Reputation.1完整路径: d:\test\8cb6.tmp

万物杀你就别拿出来丢人了，要的是自动防护、声纳、IPS、智能防火墙有反应才算拦截，知道不？你也算混样本区的老人了，让我说你啥好呢

HEMM

感天动地，居然不是拉黑杀

没技能了，今天输你一招，明天找机会背刺~

温馨小屋

FS杀

Miostartos

墨家小子 发表于 2016-1-1 23:09
万物杀你就别拿出来丢人了，要的是自动防护、声纳、IPS、智能防火墙有反应才算拦截，知道不？你也算混样 ...

好玩啊
万物杀发出来逗乐子不行么