小小CryptoWall一枚，有人玩么？【更新一下，换了个SWF样本】

显示全部楼层 · 发表于 2016-1-27 13:44:56

本帖最后由驭龙于 2016-1-27 18:12 编辑

之前的样本，跟@墨家小子的一个样本重复，所以更新一下，我改成SWF文件的Exploit文件吧。

显示全部楼层 · 发表于 2016-1-27 14:40:28

文件名: 2016-01-27.exe
威胁名称: SONAR.Heuristic.142
完整路径: 不可用

____________________________

详细信息
极少用户信任的文件, 极新的文件, 风险高

原始
下载自
未知

活动
已执行的操作: 7

____________________________

在电脑上的创建时间
2016-1-27 ( 14:29:01 )

上次使用时间
2016-1-27 ( 14:29:01 )

启动项目
是

已启动
是

____________________________

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

来源: 外部介质

源文件:
awazu.exe

____________________________

文件操作

受感染文件: c:\Users\administrator\AppData\Roaming\Ovamc\ awazu.exe 已删除
受感染文件: f:\norton样本\临时收集\ 2016-01-27.exe 已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Microsoft\Windows\CurrentVersion\ Run->{48EC8984-8686-3A3B-7CA5-AAE56E8C1806} 已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\2016-01-27.exe, PID:4508) 未采取操作
事件: 进程启动: c:\Windows\System32\ svchost.exe, PID:2328 (执行者 f:\norton样本\临时收集\2016-01-27.exe, PID:4508) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 2016-01-27.exe, PID:4508 (执行者 f:\norton样本\临时收集\2016-01-27.exe, PID:4508) 未采取操作
____________________________

可疑操作

(执行者 f:\norton样本\临时收集\2016-01-27.exe, PID:4508) 未采取操作
____________________________

文件指纹 - SHA:
7a22e285fe0fd686d4563f89d5015b90eee94087da58b51c511f3d8e4049cd33
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-1-27 14:54:59

360云鉴定转人工

显示全部楼层 · 发表于 2016-1-27 15:02:51

双击
EAM弹窗

显示全部楼层 · 发表于 2016-1-27 15:23:23

卡巴 UDS 杀

显示全部楼层 · 发表于 2016-1-27 15:29:38

本帖最后由诸葛亮于 2016-1-27 15:35 编辑

红伞'TR/AD.Crowti.Y.169 [trojan

试一试 Malwarebytes Anti-Ransomware Beta

沙盘里运行，居然干掉了我沙盘外的谷歌浏览器，样本没有干掉。不知道是不是漏沙了，不过幸好文档没有被加密，谷歌倒是over了。
（再次运行，居然无法入沙了，，估计第一次是我手抖了，在实机里运行了。）

显示全部楼层 · 发表于 2016-1-27 15:50:25

eset miss

显示全部楼层 · 发表于 2016-1-27 15:57:23

诺顿扫描miss
双击

文件名: 2016-01-27.exe
威胁名称: SONAR.Heuristic.132完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间 
2016/1/27 ( 15:55:42 )

上次使用时间 
2016/1/27 ( 15:55:42 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

2016-01-27.exe 威胁名称: SONAR.Heuristic.132
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
7zfm.exe

创建的文件:
2016-01-27.exe

____________________________

文件操作

文件: c:\users\test\desktop\2016-01-27\ 2016-01-27.exe 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\test\desktop\2016-01-27\2016-01-27.exe, PID:2692) 未采取操作
事件: 进程启动: c:\Windows\System32\ svchost.exe, PID:1652 (执行者 c:\users\test\desktop\2016-01-27\2016-01-27.exe, PID:2692) 未采取操作
事件: 进程启动: c:\users\test\desktop\2016-01-27\ 2016-01-27.exe, PID:2692 (执行者 c:\users\test\desktop\2016-01-27\2016-01-27.exe, PID:2692) 未采取操作
____________________________

可疑操作

(执行者 c:\users\test\desktop\2016-01-27\2016-01-27.exe, PID:2692) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-1-27 16:01:44

mcafee miss

显示全部楼层 · 发表于 2016-1-27 16:57:32

轩夏发表于 2016-1-27 15:50
eset miss

ESET能殺了

[病毒样本] 小小CryptoWall一枚，有人玩么？【更新一下，换了个SWF样本】

本帖子中包含更多资源

评分

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块