File name: CC00.tmp Detection ratio: 5 / 54 Rig Exploit Kit Redirect 挂马

墨家小子

SHA256:        11456578d9b17a9e9d8e54ca87d0c1a8c403c77a40d28f4da8f7ab33264a5db3
File name:        CC00.tmp
Detection ratio:        5 / 54
Analysis date:        2016-01-23 23:45:26 UTC ( 1 minute ago )
https://www.virustotal.com/en/fi ... nalysis/1453592726/

ESET-NOD32        a variant of Win32/Injector.CQTP        20160123
Malwarebytes        Trojan.Kovter        20160123
McAfee-GW-Edition        BehavesLike.Win32.AAEH.ch        20160123
Qihoo-360        HEUR/QVM03.0.Malware.Gen        20160124
Rising        PE:Malware.XPACK-HIE/Heur!1.9C48 [F]        20160123

IPS报：Rig Exploit Kit Redirect，关闭IPS再进，木马在SSF拦截下现形~~

为你心碎

KIS

狐狸糊涂

BD双击，ATC杀掉，但被添加了启动项

小飞侠.net

ESET Smart Security 64位（高级启发式+启发式+DNA+智能签名）++（Win 10 th2....）： Win32/Injector.CQTP
病毒库: 12916P (20160123)
快速响应模块: 7380 (20160123)
更新模块: 1060 (20150617)
病毒和间谍软件扫描程序模块: 1478 (20160121)
高级启发式扫描模块: 1166 (20160121)
压缩文件支持模块: 1244 (20160107)
清除器模块: 1116 (20151113)
反隐藏支持模块: 1093 (20151216)
个人防火墙模块: 1294 (20151216)



奇虎360杀毒 64位（QVM二代、360云查杀、Avira、BitDefender）++（Win 7....）： HEUR/QVM0.3.Malware.Gen

。。。。查杀结果看图：Scan finished...1/21 scanners reported malware.

CC00.rar - Jotti's malware scan  https://virusscan.jotti.org/en-GB/filescanjob/pszkvldbj6

样本MD5：
文件名: C:\Users\xfxnet2000\Desktop\MX Player Pro\刘嘉欣\7346797\958202\952802\馨妍\ZipX\CC00.rar
文件大小: 73644 字节 (71.92 KB)
修改日期: 2016-01-24 08:43
MD5: cccba02225d04695c6461a3fc7b1973e
SHA1: 62962d20dab34a5eed3f61fb343d963ef6892af5
SHA256: 851ba70675e3e0123b27b3503dc7c3e160c84f51918f8f480c6c3702cf3e8364
CRC32: 2c2c7b71

白露为霜

双击

不是云报的

墨家小子

狐狸糊涂 发表于 2016-1-24 08:48
BD双击，ATC杀掉，但被添加了启动项

注销之后再回来 ATC还杀不杀？测试能不能完整些了

aboringman

ESET（Special Test）：Test AMS

Result：Failed（果然很厉害，注入了svchost.exe，而AMS无法清除，于是疯狂的拦截开始了）.

以下为部分处理信息：

Time;Scanner;Object type;Object;Threat;Action;User;Information

2016/1/24 13:01:16;Advanced memory scanner;file;Operating memory » C:\Windows\system32\svchost.exe;a variant of Win32/Agent.OBA trojan;unable to clean;;

2016/1/24 13:00:16;Advanced memory scanner;file;Operating memory » C:\Windows\system32\svchost.exe;a variant of Win32/Agent.OBA trojan;unable to clean;;

Time;Scanner;Object type;Object;Threat;Action;User;Information
2016/1/24 13:01:16;Advanced memory scanner;file;Operating memory » svchost.exe(5396);a variant of Win32/Tofsee.BC trojan;cleaned - contained infected files;;

狐狸糊涂

墨家小子 发表于 2016-1-24 10:16
注销之后再回来 ATC还杀不杀？测试能不能完整些了

==,一会回复你,之前注销后是样本被杀掉的..再复制不了,启动项的这个文件不显示,可能被隐身,反正我找不到一会重新上图

狐狸糊涂

墨家小子 发表于 2016-1-24 10:16
注销之后再回来 ATC还杀不杀？测试能不能完整些了

注销后,样本被删除,虽然被添加了启动项,但文件是被拦截写入了..
启动项的文件.也显示找不到文件,看图

nick20010117

@aboringman eset我还是不放心，对付这种蜘蛛要好得多
病毒运行了，基本就挂了，难以清除