File name: rad6340F.tmp.exe Detection ratio: 1 / 54 Neutrino Exploit Kit 挂马

墨家小子

温馨小屋 发表于 2016-1-2 09:39
来晚了。。。。

昨晚又一个过声纳的，你去试试啊

开开心心卖手机

haol 发表于 2016-1-2 09:39
初次看到紅傘雲有效果

之前我这边云也可以实时监控，但是不是所有的样本都能触发，现在更新要靠代{过}{滤}理，云也只能在隔离区发威了

nick20010117

高安全性
中安全性触发Aegis

275751198

miss 不多说，

温馨小屋

墨家小子 发表于 2016-1-2 09:34
[mw_shl_code=css,true]文件名: rad6340f.tmp.exe
威胁名称: SONAR.SuspBeh!gen244完整路径: 不可用

我刚试了一下，我这里还是只是IPS杀，这种本机攻击不是应该用SONAR处理的吗，是不是Windows insider 11082系统的内核改动是SONAR部分监控点失效，今天我测试的精睿包SONAR拦截率也极低，好多都自删除了

温馨小屋

我现在的文件被锁，刚打开一个ppt直接就没了，所有目录里全有可疑文件

墨家小子

温馨小屋 发表于 2016-1-2 11:50
我刚试了一下，我这里还是只是IPS杀，这种本机攻击不是应该用SONAR处理的吗，是不是Windows insider 1108 ...

因为样本需要连回服务器根据你的系统取点等下回来才会加密你的文档，不然勒索不到你

温馨小屋

墨家小子 发表于 2016-1-2 11:55
因为样本需要连回服务器根据你的系统取点等下回来才会加密你的文档，不然勒索不到你

文件全部已被加密。。。。

墨家小子

温馨小屋 发表于 2016-1-2 11:57
文件全部已被加密。。。。

我证实了你的猜测，我这里防御成功

[mw_shl_code=css,true]文件名: radf2024.tmp.exe
威胁名称: SONAR.SuspBeh!gen244完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2016/1/2 ( 10:55:23 )

上次使用时间 
2016/1/2 ( 10:55:23 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


radf2024.tmp.exe 威胁名称: SONAR.SuspBeh!gen244
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
explorer.exe

创建的文件:
radf2024.tmp.exe

____________________________

文件操作

文件: c:\users\AA\desktop\1\ radf2024.tmp.exe 威胁已删除
目录: c:\users\AA\appdata\roaming\ 77a829663 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\AA\desktop\1\radf2024.tmp.exe, PID:5208) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ explorer.exe, PID:7284 (执行者 c:\users\AA\desktop\1\radf2024.tmp.exe, PID:5208) 未采取操作
事件: 进程启动: c:\users\AA\desktop\1\ radf2024.tmp.exe, PID:5208 (执行者 c:\users\AA\desktop\1\radf2024.tmp.exe, PID:5208) 未采取操作
事件: PE 文件创建: c:\users\AA\appdata\roaming\77a829663\ 17554.exe (执行者 c:\users\AA\desktop\1\radf2024.tmp.exe, PID:5208) 未采取操作
____________________________

可疑操作

(执行者 c:\users\AA\desktop\1\radf2024.tmp.exe, PID:5208) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

++++++++++++++++++++++++++++++++++++++++++++++

文件名: radf2024.tmp.exe
威胁名称: SONAR.SuspBeh!gen115完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
不可用

上次使用时间 
(  )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


radf2024.tmp.exe 威胁名称: SONAR.SuspBeh!gen115
定位


未知
诺顿社区中使用了此文件的用户数 未知。

未知
此文件版本当前 未知。

高
此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: c:\users\AA\desktop\1\ radf2024.tmp.exe 不需要操作
目录: c:\users\AA\appdata\roaming\ 77a829663 不需要操作
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\AA\desktop\1\radf2024.tmp.exe, PID:5208) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ explorer.exe, PID:7284 (执行者 c:\users\AA\desktop\1\radf2024.tmp.exe, PID:5208) 未采取操作
事件: 进程启动: c:\users\AA\desktop\1\ radf2024.tmp.exe, PID:5208 (执行者 c:\users\AA\desktop\1\radf2024.tmp.exe, PID:5208) 未采取操作
事件: PE 文件创建: c:\users\AA\appdata\roaming\77a829663\ 17554.exe (执行者 c:\users\AA\desktop\1\radf2024.tmp.exe, PID:5208) 未采取操作
____________________________

可疑操作

(执行者 c:\users\AA\desktop\1\radf2024.tmp.exe, PID:5208) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
[/mw_shl_code]

温馨小屋

墨家小子 发表于 2016-1-2 12:03
我证实了你的猜测，我这里防御成功

[mw_shl_code=css,true]文件名: radf2024.tmp.exe

他动作太大了，SONAR不可能没动静，没动静只能说明有问题。。。