Detection ratio: 1 / 54 Angler Exploit Kit Website 6 挂马 加密勒索

胖福

文件名: b6bf.tmp.exe
威胁名称: SONAR.SuspBeh!gen483
完整路径: 不可用

____________________________



详细信息
极少用户信任的文件,  极新的文件,  风险 高





原始
下载自
 未知





活动
已执行的操作: 9



____________________________



在电脑上的创建时间 
2016-1-27 ( 10:10:16 )


上次使用时间 
2016-1-27 ( 10:10:16 )


启动项目 
否


已启动 
是


____________________________


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。



____________________________



来源: 外部介质



源文件:
b6bf.tmp.exe




____________________________

文件操作

文件: f:\norton样本\临时收集\ b6bf.tmp.exe 已删除
文件: c:\users\administrator\appdata\roaming\6501c92a\ 96916.exe 已删除
目录: c:\users\administrator\appdata\roaming\ 6501c92a 已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Microsoft\Windows\CurrentVersion\ Run->6501c92a 不需要操作
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\b6bf.tmp.exe, PID:5980) 未采取操作
事件: 进程启动: c:\Windows\System32\ svchost.exe, PID:4128 (执行者 f:\norton样本\临时收集\b6bf.tmp.exe, PID:5980) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ b6bf.tmp.exe, PID:5980 (执行者 f:\norton样本\临时收集\b6bf.tmp.exe, PID:5980) 未采取操作
事件: PE 文件创建: c:\users\administrator\appdata\roaming\6501c92a\ 96916.exe (执行者 f:\norton样本\临时收集\b6bf.tmp.exe, PID:5980) 未采取操作
____________________________

可疑操作

(执行者 f:\norton样本\临时收集\b6bf.tmp.exe, PID:5980) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

zst470396853

墨家小子 发表于 2016-1-27 11:47
能不能在win10 或者 win8.1 （X64）下测试一次？

win10  64位

360主防国内版 拦截开机启动



过1  2分钟后 拦截修改文档



5分钟 后没有在拦截什么  不知道 是否有拦截你说的注入

实机测试  并未加密任何

vm001

zst470396853 发表于 2016-1-27 15:35
win10  64位

360主防国内版 拦截开机启动

如果已经提示拦截开机启动了，那是已经注入了，没有拦截到，不过就算注入了，最终还算是没有过掉360主防，关键破坏行为还是给拦截的。所以样本的注入行为在360防御面前算是没意义了

MXCERILYF!

卡巴斯基

墨家小子

zst470396853 发表于 2016-1-27 15:35
win10  64位

360主防国内版 拦截开机启动

除了没看到拦截注入，别的都很好啊，数字的主防实力确实是一流的

墨家小子

vm001 发表于 2016-1-27 16:01
如果已经提示拦截开机启动了，那是已经注入了，没有拦截到，不过就算注入了，最终还算是没有过掉360主防 ...

我说句不中听的话，其实只要拦截到注入万事OK，样本的后续行为都不会出现，可是win8.1 X64、win10 X64下能拦截到的几乎没有

vm001

墨家小子 发表于 2016-1-27 16:42
我说句不中听的话，其实只要拦截到注入万事OK，样本的后续行为都不会出现，可是win8.1 X64、win10 X64下 ...

对这类（仅限于这类）拦截注入不是主要的，拦截对文档的修改时主要的，比如一开始出现的文档敲诈者是没有注入行为的，而是样本直接改文档

墨家小子

vm001 发表于 2016-1-27 17:22
对这类（仅限于这类）拦截注入不是主要的，拦截对文档的修改时主要的，比如一开始出现的文档敲诈者是没有 ...

毕竟利用白程序做坏事隐蔽些

3801187

vm001

墨家小子 发表于 2016-1-27 17:25
毕竟利用白程序做坏事隐蔽些

程序是白的，可是进入内存以后，这个程序不算是白的了(以当前用户名运行的cvshost),还有一个判断，这个傀儡进错的父进程或者杀软的主防是否是多步判断单点拦截