Detection ratio: 3 / 54 Angler Exploit Kit 挂马 截取屏幕或窗口

墨家小子

SHA256:        5057104f2a9122fcae5dec0d00e4fbb2b0165f8f44705c22a9c7d9a98f6be28f
File name:        90F4.tmp.exe
Detection ratio:        3 / 54
Analysis date:        2016-01-21 04:59:02 UTC ( 1 minute ago )
https://www.virustotal.com/en/fi ... nalysis/1453352342/

Kaspersky        UDS:DangerousObject.Multi.Generic        20160121
McAfee-GW-Edition        BehavesLike.Win32.PWSZbot.fc        20160121
ViRobot        Trojan.Win32.R.Agent.349696.B[h]        20160121

不太清楚这样的木马，即使最后杀了，但木马联网将截取的屏幕或窗口信息传送回木马服务器没有做出有效拦截，最终是否算防御成功？尤其像诺顿这样的杀软，有的时候居然注销之后才能最后杀干净，而不是一旦发现有恶意或盗取、篡改信息的行为即刻直接拦截，比如BD的AVC

尘梦幽然

[mw_shl_code=css,true]文件名: 90f4.tmp.exe
威胁名称: Infostealer.Limitail完整路径: e:\vir\trojgen\90f4.tmp.exe

____________________________

____________________________


在电脑上的创建时间 
2016/1/21 ( 13:23:10 )

上次使用时间 
2016/1/22 ( 8:58:24 )

启动项目 
否

已启动 
否

威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


90f4.tmp.exe 威胁名称: Infostealer.Limitail
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
winrar.exe

创建的文件:
90f4.tmp.exe

____________________________

文件操作

文件: e:\vir\trojgen\ 90f4.tmp.exe 已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-1980444745-173740611-1582470041-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->ShowSuperHidden:0 已修复
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->ShowSuperHidden:0 已修复
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->ShowSuperHidden:0 已修复
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->ShowSuperHidden:0 已修复
注册表更改: HKEY_USERS\S-1-5-21-1980444745-173740611-1582470041-1001\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ ->NofolderOptions:0 已修复
注册表更改: HKEY_USERS\S-1-5-21-1980444745-173740611-1582470041-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ ->NofolderOptions:0 已修复
注册表更改: HKEY_USERS\S-1-5-21-1980444745-173740611-1582470041-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->ShowSuperHidden:0 已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\ ->AntiVirusDisableNotify:0, 注册表配置单元: 32 位 已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\ ->AntiVirusDisableNotify:0, 注册表配置单元: 64 位 已修复
____________________________


文件指纹 - SHA:
5057104f2a9122fcae5dec0d00e4fbb2b0165f8f44705c22a9c7d9a98f6be28f
文件指纹 - MD5:
不可用[/mw_shl_code]

kbsj123321

AVG 扫描miss

绅博周幸

Greetings,

*** This message is an automatic e-mail response ***

Thank you for your sample/URL submission.
A ticket has been created for your submission and it has been placed into the processing queue.
Our analysts will examine your submission and you will get a reply with the solution or with the verdict for the submitted files/URLs.

Please note that we are getting a large number of submissions per day, so processing of your ticket may take time.
Thank you for your patience.

Best regards,
SecurityResponse Team

G Data Software AG • Konigsallee 178b
D-44799 Bochum, Germany • http://www.gdata.de

PO Box 100 868 • D-44708 Bochum, Germany
HRB Bochum 6886 • VAT Reg. No. DE 127 065 359

Board of directors: Kai Figge, Walter Schumann, Andreas Luening
Chairman of the supervisory board: Dr. Holger Bergmann


Sehr geehrter Kunde,

*** Diese Nachricht ist eine automatisch erzeugte E-Mail-Antwort. ***

vielen Dank für das Einsenden Ihrer Datei(en)/ Ihrer URL-Adresse.
In unserem System wurde ein Ticket für Sie erstellt.
Unsere Analysten werden Ihre Einsendung prüfen und Sie werden eine Antwort dazu erhalten.

Bitte haben Sie Verständnis dafür, dass dieser Prozess Zeit benötigt, da wir täglich eine große Anzahl von Anfragen eingesendet bekommen.
Vielen Dank für Ihre Geduld.

Mit freundlichen Grüßen,
Ihr SecurityResponse Team

G Data Software AG • Königsallee 178b
D-44799 Bochum, Germany • http://www.gdata.de

Postfach 100 868 • D-44708 Bochum, Deutschland
HRB Bochum 6886 • USt-IdNr.: DE 127 065 359

Vorstand: Kai Figge, Walter Schumann, Andreas Lüning
Aufsichtsratsvorsitzender: Dr. Holger Bergmann

MXCERILYF!

金山miss

windows7爱好者

你需要防火墙
malwarebytes miss

胖福

这两个杀起来没啥问题呀，也不需要重启！

墨家小子

胖福 发表于 2016-1-21 14:55
这两个杀起来没啥问题呀，也不需要重启！

那之前的那些需要注销才杀的呢？

墨家小子

windows7爱好者 发表于 2016-1-21 14:38
你需要防火墙
malwarebytes miss

防火墙有个屁用，现在的木马都注入白名单程序，系统墙对于白名单程序管都不管

胖福

墨家小子 发表于 2016-1-21 15:12
那之前的那些需要注销才杀的呢？

那些也没法确定信息是否已被发出去，毕竟诺顿处理机制不明，不知道在注销或重启之前是否已经检测到，只是需要重启或注销才能触发sonar，还是像你说的信息已被发出去了！