收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 Detection ratio: 2 / 52 这种挂马让人惊恐啊,直接把木 ...
123
返回列表 发新帖
楼主: 墨家小子
 收起左侧

[可疑文件] Detection ratio: 2 / 52 这种挂马让人惊恐啊,直接把木马弄到系统文件夹里去了

[复制链接]
aboringman
发表于 2016-2-3 13:34:07 | 显示全部楼层
本帖最后由 aboringman 于 2016-2-3 13:35 编辑
墨家小子 发表于 2016-2-3 13:24
高级内存拦截之后,有没有发现注入情况?启动项什么的有没有异常?


没有注入,是衍生物自身试图联网(见BP报法),启动项无异常,杀得很干净。
[mw_shl_code=css,true]2016/2/3 12:38:43;Suspected botnet detected;192.168.1.102:54454;69.73.182.201:80;TCP;Win32/Filecoder.EM;C:\Users\kiiler\AppData\Roaming\cnwhnhe45.exe;kiiler-PC\kiiler[/mw_shl_code]
回复

举报

墨家小子
 楼主| 发表于 2016-2-3 13:36:01 | 显示全部楼层
aboringman 发表于 2016-2-3 13:34
没有注入,是衍生物自身试图联网(见BP报法),启动项无异常,杀得很干净。
[mw_shl_code=css,true]20 ...

ESET真心不错,可以没有类似IPS那种东西,不然就完美了
回复

举报

aboringman
发表于 2016-2-3 13:37:34 | 显示全部楼层
墨家小子 发表于 2016-2-3 13:36
ESET真心不错,可以没有类似IPS那种东西,不然就完美了


AMS实际能力还是太弱,刚才测试你的一个新样本时,没有清除干净,留下了衍生物的启动项,还好被我看见了。。。。。。
希望在下个版本EB会有提升,很不错的功能。
回复

举报

墨家小子
 楼主| 发表于 2016-2-3 13:42:08 | 显示全部楼层
aboringman 发表于 2016-2-3 13:37
AMS实际能力还是太弱,刚才测试你的一个新样本时,没有清除干净,留下了衍生物的启动项,还好被我看见 ...

那个样本?勒索的?是不是启动那三个缴纳勒索赎金的东西?
回复

举报

aboringman
发表于 2016-2-3 13:45:05 | 显示全部楼层
本帖最后由 aboringman 于 2016-2-3 13:53 编辑
墨家小子 发表于 2016-2-3 13:42
那个样本?勒索的?是不是启动那三个缴纳勒索赎金的东西?


这个:http://bbs.kafan.cn/thread-1961588-1-1.html

BP和WP联手阻止,但由于AMS和监控被关闭,所以等于放过了衍生物。
忘说了,刚才测试这个样本时关闭了AMS后测试调出BP后,好像BP又启动了一次AMS进行清除,但上面那一次却没有。。。。。。
回复

举报

绅博周幸
发表于 2016-2-3 13:45:44 | 显示全部楼层
Website blocked!

G DATA TOTAL SECURITY has denied access to this website.
The site contains infected code: Trojan.GenericKD.3001207 (Engine A).
回复

举报

aboringman
发表于 2016-2-3 13:57:36 | 显示全部楼层
墨家小子 发表于 2016-2-3 13:42
那个样本?勒索的?是不是启动那三个缴纳勒索赎金的东西?

忘记说了,BP好象有跟AMS联动的迹象。在测试这个帖子的样本时,我忘记启动AMS便进行双击,后来BP居然与AMS一同出来阻止,有些奇怪。
但在测试你那个新样本时,却无法复现了。。。。。
回复

举报

墨家小子
 楼主| 发表于 2016-2-3 15:21:18 | 显示全部楼层


****************** Sophos Anti-Virus 日志记录 - 2016/2/3 7:21:07 **************

    ...
20160203 072003        文件"C:\Users\AAAA\Desktop\TMP64B2\TMP64B2.exe"属于病毒/间谍软件 'HPmal/EccKrpt-B'。该进程已被中止。
20160203 072015        文件"C:\Users\AAAA\Desktop\TMP64B2\TMP64B2.exe"属于病毒/间谍软件 'HPmal/EccKrpt-B'。
20160203 072015        注册值"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin"属于病毒/间谍软件 'HPmal/EccKrpt-B'。
20160203 072021        文件"C:\Users\AAAA\Desktop\TMP64B2\TMP64B2.exe"已清除。
20160203 072021        注册值"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin"已清除。
20160203 072021        病毒/间谍软件 'HPmal/EccKrpt-B' 已删除。
20160203 072033        文件样本已顺利发送,Sophos Live Protection:
        文件:'C:\Users\AAAA\Desktop\TMP64B2\TMP64B2.exe'
        检查和:'68f11666a1efca9bc080d67c5776a95e093851f5.5'
回复

举报

nick20010117
发表于 2016-2-3 15:21:24 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

猥琐大叔
发表于 2016-2-3 15:23:52 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

123
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-14 05:52 , Processed in 0.094002 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表