Detection ratio: 5 / 54 Angler Exploit Kit Website 6 挂马加密勒索、截屏

显示全部楼层 · 发表于 2016-1-28 12:11:42

SHA256: 3821ebc6282febfe0536845d6b07a0f1a004e1d68e5db6fcd55849b708e013c9
File name: 46DF.tmp.exe
Detection ratio: 5 / 54
Analysis date: 2016-01-28 04:09:17 UTC ( 0 minutes ago )
https://www.virustotal.com/en/file/3821ebc6282febfe0536845d6b07a0f1a004e1d68e5db6fcd55849b708e013c9/analysis/1453954157/

AegisLab  Troj.W32.Gen  20160128
Kaspersky  UDS:DangerousObject.Multi.Generic  20160128
Malwarebytes  Trojan.PasswordStealer  20160128
Qihoo-360  Win32/Trojan.Multi.daf  20160128
Symantec  Suspicious.Cloud.7.F  20160127

2016/1/28 9:52:25,高,阻止了 proprivilege.pcip2pe.com 的入侵企图,已阻止,不需要操作,,不需要操作,不需要操作,Web Attack: Angler Exploit Kit Website 6,"proprivilege.pcip2pe.com (217.12.201.241, 80)",whiteningstone.arizonateacher.org/boards/viewtopic.php?t=375&f=4u508x25.ds9oz75v122,"192.168.1.112, 4371",proprivilege.pcip2pe.com (217.12.201.241),"TCP, www-http"

显示全部楼层 · 发表于 2016-1-28 12:45:08

fss 云杀- -

显示全部楼层 · 发表于 2016-1-28 12:55:46

本帖最后由 1446547521 于 2016-1-28 12:57 编辑

[mw_shl_code=css,true]
第一个自动防护报
文件名: 46df.tmp.exe

威胁类型: 启发式病毒。根据恶意软件启发式技术检测威胁。

____________________________

46df.tmp.exe 威胁名称: Suspicious.Cloud.7.F

第二个

文件名: dfb5.tmp.exe
威胁名称: SONAR.MalTraffic!gen2完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间
2016/1/28 ( 12:51:19 )

上次使用时间
2016/1/28 ( 12:51:19 )

启动项目
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

dfb5.tmp.exe 威胁名称: SONAR.MalTraffic!gen2
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
dfb5.tmp.exe

____________________________

文件操作

受感染文件: e:\迅雷下载\ dfb5.tmp.exe 不需要操作
受感染文件: c:\Users\14465\defaultbox\drive\e\迅雷下载\ dfb5.tmp.exe 不需要操作
受感染文件: c:\Users\14465\defaultbox\user\current\appdata\roaming\e96406a\ 06ae9.exe 不需要操作
目录: c:\Users\14465\defaultbox\user\current\appdata\roaming\ e96406a 不需要操作
____________________________

网络操作

事件: 网络活动 (执行者 e:\迅雷下载\dfb5.tmp.exe, PID:1536) 未采取操作
事件: 网络通信上检测到 Symantec IDS 特征 (执行者 e:\迅雷下载\dfb5.tmp.exe, PID:1536) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 e:\迅雷下载\dfb5.tmp.exe, PID:1536) 未采取操作
事件: 进程启动: c:\Windows\syswow64\ svchost.exe, PID:5308 (执行者 e:\迅雷下载\dfb5.tmp.exe, PID:1536) 未采取操作
事件: 进程启动: e:\迅雷下载\ dfb5.tmp.exe, PID:1536 (执行者 e:\迅雷下载\dfb5.tmp.exe, PID:1536) 未采取操作
事件: PE 文件创建: c:\Users\14465\defaultbox\user\current\appdata\roaming\e96406a\ 06ae9.exe (执行者 e:\迅雷下载\dfb5.tmp.exe, PID:1536) 未采取操作
事件: PE 文件创建: c:\Users\14465\defaultbox\drive\e\迅雷下载\ dfb5.tmp.exe (执行者 e:\迅雷下载\dfb5.tmp.exe, PID:1536) 未采取操作
____________________________

文件指纹 - SHA:
3821ebc6282febfe0536845d6b07a0f1a004e1d68e5db6fcd55849b708e013c9
文件指纹 - MD5:
不可用

[/mw_shl_code]

显示全部楼层 · 发表于 2016-1-28 13:19:36

360 Win32/Trojan.Multi.daf

显示全部楼层 · 发表于 2016-1-28 13:31:24

只要ESET hips拦截到这一步，木马没有后续行为

显示全部楼层 · 发表于 2016-1-28 13:42:34

我就放两张图

好久没双击BD了，ATC还是那么给力

显示全部楼层 · 发表于 2016-1-28 13:53:20

本帖最后由 windows7爱好者于 2016-1-28 13:57 编辑

显示全部楼层 · 发表于 2016-1-28 17:44:01

本帖最后由 aboringman 于 2016-1-28 17:45 编辑

AVG：

扫描：miss；

双击：实机双击，IDP瞬间击杀之。

"";"IDP.Trojan.278C2829, C:\Users\kiiler\Desktop\46DF.tmp.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/1/28, 17:41:25"
"";", C:\Users\kiiler\Desktop\46DF.tmp.exe";"Object was blocked";"Process";"2016/1/28, 17:41:25"

显示全部楼层 · 发表于 2016-1-28 22:34:50

这个测试了一下还算可以吧

显示全部楼层 · 发表于 2016-1-28 23:04:37

本帖最后由 nick20010117 于 2016-1-28 23:06 编辑

[可疑文件] Detection ratio: 5 / 54 Angler Exploit Kit Website 6 挂马加密勒索、截屏

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块

[可疑文件] Detection ratio: 5 / 54 Angler Exploit Kit Website 6 挂马 加密勒索、截屏

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块

[可疑文件] Detection ratio: 5 / 54 Angler Exploit Kit Website 6 挂马加密勒索、截屏