收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 File name: 715F.tmp Detection ratio: 5 / 55 Rig Expl ...
12下一页
返回列表 发新帖
查看: 3206|回复: 11
收起左侧

[可疑文件] File name: 715F.tmp Detection ratio: 5 / 55 Rig Exploit Kit Redirect 挂马

[复制链接]
墨家小子
发表于 2016-1-12 15:25:26 | 显示全部楼层 |阅读模式
本帖最后由 墨家小子 于 2016-1-12 16:02 编辑

SHA256:        7d22f595d13bc5a675f4687d199aa2e80fc5924e0a83816e135149556fdc18c5
File name:        715F.tmp
Detection ratio:        5 / 55
Analysis date:        2016-01-12 07:22:24 UTC ( 1 minute ago )
https://www.virustotal.com/en/fi ... nalysis/1452583344/

ESET-NOD32        a variant of Win32/Injector.CPXK        20160112
Fortinet        W32/Injector.CPUV!tr        20160111
Kaspersky        UDS:DangerousObject.Multi.Generic        20160112
Malwarebytes        Trojan.Kovter        20160112
Qihoo-360        QVM03.0.Malware.Gen        20160112



CPU飙到20%,过了一会,木马就挂了,是不是对X64有抵触情绪?
诺顿IPS检测:Web Attack: Rig Exploit Kit Redirect
HMPA没有丝毫犹豫,拦截!!






HMPA拦截记录:
[mw_shl_code=css,true]Mitigation   StackPivot

Platform     6.3.9600/x64 06_3d
PID          4972
Application  C:\Program Files (x86)\Internet Explorer\iexplore.exe
Description  Internet Explorer 11

Callee Type  AllocateVirtualMemory
             0x0F470000 (32768 bytes)

ESP          0x0F473CF0
Stack top    0x05C10000
Stack bottom 0x05E10000
Size         0x200000

Stack Trace
#  Address  Module                   Location
-- -------- ------------------------ ----------------------------------------
1  7721D570 KernelBase.dll           VirtualAlloc +0x3e

2  58961575 Flash.ocx               
            5d                       POP          EBP
            c3                       RET         


Process Trace
1  C:\Program Files (x86)\Internet Explorer\iexplore.exe [4972]
"C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:9200 CREDAT:144386 /prefetch:2
2  C:\Program Files\Internet Explorer\iexplore.exe [9200]
"C:\Program Files\Internet Explorer\iexplore.exe" -private
[/mw_shl_code]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

轩夏
发表于 2016-1-12 15:27:25 | 显示全部楼层
金山过
回复

举报

liu浪的人
头像被屏蔽
发表于 2016-1-12 15:38:01 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

胖福
发表于 2016-1-12 15:47:18 | 显示全部楼层
文件名: 715f.tmp.exe
威胁名称: SONAR.SelfHijack!gen1完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2016-1-12 ( 15:45:19 )

上次使用时间 
2016-1-12 ( 15:45:19 )

启动项目 


已启动 


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


715f.tmp.exe 威胁名称: SONAR.SelfHijack!gen1
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
715f.tmp.exe

____________________________

文件操作

文件: f:\norton样本\临时收集\ 715f.tmp.exe 威胁已删除
文件: c:\users\administrator\appdata\local\temp\ ~df08e61e31edcb026e.tmp 威胁已删除
事件: 正在运行进程: f:\norton样本\临时收集\ 715f.tmp.exe 已终止
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\715f.tmp.exe, PID:1752) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 715f.tmp.exe, PID:3780 (执行者 f:\norton样本\临时收集\715f.tmp.exe, PID:1752) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 715f.tmp.exe, PID:1752 (执行者 f:\norton样本\临时收集\715f.tmp.exe, PID:1752) 未采取操作
____________________________

可疑操作

事件: 尝试在进程地址空间内启动远程线程 (执行者 f:\norton样本\临时收集\715f.tmp.exe, PID:1752) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
回复

举报

墨家小子
 楼主| 发表于 2016-1-12 15:48:55 | 显示全部楼层
胖福 发表于 2016-1-12 15:47
文件名: 715f.tmp.exe
威胁名称: SONAR.SelfHijack!gen1完整路径: 不可用

能运行吗?
回复

举报

胖福
发表于 2016-1-12 15:50:43 | 显示全部楼层
墨家小子 发表于 2016-1-12 15:48
能运行吗?

能的,要不然SONAR也不会有反应!
回复

举报

墨家小子
 楼主| 发表于 2016-1-12 15:52:15 | 显示全部楼层
胖福 发表于 2016-1-12 15:50
能的,要不然SONAR也不会有反应!

看来对于X64无效啊
回复

举报

275751198
发表于 2016-1-12 19:31:14 | 显示全部楼层
360 HEUR/QVM03.0.Malware.Gen
回复

举报

aboringman
发表于 2016-1-12 21:13:29 | 显示全部楼层
ESET(Special Test):关闭监控,测试AMS。

大致过程:关闭监控,双击样本,样本成功运行,添加启动项,注入svchost.exe,并试图访问危险网址下载更多威胁至本地,全程AMS无反应(后来发现与监控是联动的)。重新启动监控,监控击杀本体释放的衍生物,并试图清除活跃在内存中的威胁(即被注入的svchost.exe),但无法清除(注:已启用严格清除),衍生物不断试图连接危险网站均被网页监控阻止,最后用Hunter结束被注入的svchost.exe,成功解决。

衍生物被监控击杀:

Time;Scanner;Object type;Object;Threat;Action;User;Information
2016/1/12 20:56:58;Real-time file system protection;file;C:\Users\killer\gpmvnwvd.exe;a variant of Win32/Injector.CPXK trojan;cleaned by deleting - quarantined;Killer-PC\killer;Event occurred during an attempt to access the file by the application: C:\Windows\System32\svchost.exe.

试图清除内存中的活跃威胁,但失败:

Time;Scanner;Object type;Object;Threat;Action;User;Information
2016/1/12 20:56:52;unknown;file;Operating memory » C:\Windows\system32\svchost.exe;a variant of Win32/Agent.OBA trojan;unable to clean;Killer-PC\killer;

2016/1/12 20:56:52;Advanced memory scanner;file;Operating memory » C:\Windows\system32\svchost.exe;a variant of Win32/Agent.OBA trojan;unable to clean;;

阻止危险网址:

Time;URL;Status;Application;User;IP address
2016/1/12 20:58:04;http://111.121.193.242/tsone/ajuno.php;Blocked by internal blacklist;C:\Windows\System32\svchost.exe;Killer-PC\killer;111.121.193.242

注:以上信息已进行部分截取。

回复

举报

墨家小子
 楼主| 发表于 2016-1-12 21:34:42 | 显示全部楼层
aboringman 发表于 2016-1-12 21:13
ESET(Special Test):关闭监控,测试AMS。

大致过程:关闭监控,双击样本,样本成功运行,添加启动项 ...

卡饭的编辑水平有待提高啊,真是辛苦你们这些测试者跟我这苦逼抓马的人
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-17 15:57 , Processed in 0.120235 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表