Angler exploit kit (EK) and Neutrino EK混合型新品CryptoWall【2016-01-05】

显示全部楼层 · 发表于 2016-1-5 11:24:14

利用Angler exploit kit (EK) and Neutrino EK 两个混合型的 CryptoWall

含CW母体和Exploit的SWF体

密码：infected

显示全部楼层 · 发表于 2016-1-5 19:44:43

本帖最后由 lixihong10 于 2016-1-5 19:51 编辑

只试了下SWF，用的PotPlayer

双击SWF就执行CMD执行JS 允许。

开始执行脚本了允许。

允许

看下带的参数

解析允许

联网。
地址解析失败。估计被墙了。

[mw_shl_code=html,true]http://xktzjm.topcentc.top/dizzy/1473965/shutter-silk-frantic-place-strike-pale-brood

http://xktzjm.topcentc.top/1990/ ... wer-heel-sleep.html
[/mw_shl_code]

显示全部楼层 · 发表于 2016-1-5 11:25:38

05.01.2016 11.25.15;检测到的对象 ( 文件 ) 已删除。;D:\360安全浏览器下载\2016-01-05-malware\2016-01-05-malware\2016-01-05.exe;D:\360安全浏览器下载\2016-01-05-malware\2016-01-05-malware\2016-01-05.exe;Trojan-Ransom.Win32.Cryptodef.acet;木马程序;01/05/2016 11:25:15

swf上报给卡巴

文件未找到。
在我们的数据库中找不到所请求的文件。

显示全部楼层 · 发表于 2016-1-5 11:27:35

文件名: 2016-01-05.exe
威胁名称: SONAR.SuspBeh!gen244完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间
2016-1-5 ( 11:26:02 )

上次使用时间
2016-1-5 ( 11:26:02 )

启动项目
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

2016-01-05.exe 威胁名称: SONAR.SuspBeh!gen244
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
2016-01-05.exe

____________________________

文件操作

文件: f:\norton样本\临时收集\2016-01-05-malware\ 2016-01-05.exe 威胁已删除
目录: c:\users\administrator\appdata\roaming\ 737e7a9d0 威胁已删除
____________________________

网络操作

事件: 网络活动 (执行者 f:\norton样本\临时收集\2016-01-05-malware\2016-01-05.exe, PID:3204) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\2016-01-05-malware\2016-01-05.exe, PID:3204) 未采取操作
事件: 进程启动: c:\Windows\ explorer.exe, PID:3804 (执行者 f:\norton样本\临时收集\2016-01-05-malware\2016-01-05.exe, PID:3204) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\2016-01-05-malware\ 2016-01-05.exe, PID:3204 (执行者 f:\norton样本\临时收集\2016-01-05-malware\2016-01-05.exe, PID:3204) 未采取操作
事件: PE 文件创建: c:\users\administrator\appdata\roaming\737e7a9d0\ 923ac.exe (执行者 f:\norton样本\临时收集\2016-01-05-malware\2016-01-05.exe, PID:3204) 未采取操作
____________________________

可疑操作

(执行者 f:\norton样本\临时收集\2016-01-05-malware\2016-01-05.exe, PID:3204) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-1-5 11:31:14

360miss了上报中

显示全部楼层 · 发表于 2016-1-5 11:43:08

勒索类应该看看大蜘蛛的表现，

显示全部楼层 · 发表于 2016-1-5 11:44:49

这都玩了多少天了

显示全部楼层 · 发表于 2016-1-5 11:47:15

墨家小子发表于 2016-1-5 11:44
这都玩了多少天了

其实这个CW没啥，主要还是那个SWF比较好玩

显示全部楼层 · 发表于 2016-1-5 11:50:32

驭龙发表于 2016-1-5 11:47
其实这个CW没啥，主要还是那个SWF比较好玩

你给我分析一下，行为是怎样的？好玩有什么用

显示全部楼层 · 发表于 2016-1-5 11:57:59

本帖最后由驭龙于 2016-1-5 12:00 编辑

墨家小子发表于 2016-1-5 11:50
你给我分析一下，行为是怎样的？好玩有什么用

连接毒窝[mw_shl_code=css,true]45.32.238.202
97.74.232.166
184.170.149.44 [/mw_shl_code]之后的事情我就不用说了吧

显示全部楼层 · 发表于 2016-1-5 12:07:16

驭龙发表于 2016-1-5 11:57
连接毒窝之后的 ...

这有什么啊，接下来呢，一步一步的行为

[病毒样本] Angler exploit kit (EK) and Neutrino EK混合型新品CryptoWall【2016-01-05】

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

浏览过的版块