Detection ratio: 3 / 54 Angler Exploit Kit Website 21 挂马，截屏，加密勒索

墨家小子

SHA256:        47e57971c9068ce784011ec4e922067e326fe95619750d7fc8f03d364dbbf42b
File name:        2449.tmp.exe
Detection ratio:        3 / 54
Analysis date:        2016-01-28 10:10:07 UTC ( 2 minutes ago )
https://www.virustotal.com/en/file/47e57971c9068ce784011ec4e922067e326fe95619750d7fc8f03d364dbbf42b/analysis/1453975807/

Baidu-International        Adware.Win32.iBryte.ELZV        20160127
ESET-NOD32        a variant of Win32/Kryptik.ELZV        20160128
Kaspersky        UDS:DangerousObject.Multi.Generic        20160128

进挂马网页的时候忘记关闭HMPA，结果HMPA拦截，木马没有什么说的，有特殊爱好，截屏，最终还是为了加密勒索，图标给了满分


IPS：2016/1/28 16:38:26,高,阻止了 217.12.201.241 的入侵企图,已阻止,不需要操作,,不需要操作,不需要操作,Web Attack: Angler Exploit Kit Website 21,"217.12.201.241, 80",geigerinnenviridenutans.jonkyl.com/forums/search.php?keywords=876.&fid0=sf598c28l62188g1ff2,"AAAAA-PC (XXXXXX, 29)",217.12.201.241,"TCP, www-http"

aboringman

AVG：

扫描：miss；

双击：实机双击，IDP瞬杀之。

"";"IDP.Trojan.B270F506, C:\Users\kiiler\Desktop\2449.tmp.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/1/28, 18:22:29"
"";", C:\Users\kiiler\Desktop\2449.tmp.exe";"Object was blocked";"Process";"2016/1/28, 18:22:29"

墨家小子

@windows7爱好者 数字不报，你试试

1446547521

右键入沙

文件名: 2449.tmp.exe
威胁名称: SONAR.Heuristic.142完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2016/1/28 ( 18:15:58 )

上次使用时间 
2016/1/28 ( 18:15:58 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


2449.tmp.exe 威胁名称: SONAR.Heuristic.142
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
2449.tmp.exe

____________________________

文件操作

文件: e:\迅雷下载\ 2449.tmp.exe 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\Sandbox_14465_DefaultBox\Machine\SOFTWARE\Policies\Microsoft\Windows\ Appx, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_14465_DefaultBox\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\ AppModelUnlock, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_14465_DefaultBox\machine\Software\Policies\Microsoft\ Cryptography, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_14465_DefaultBox\machine\Software\Microsoft\ Cryptography, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_14465_DefaultBox\user\current\SOFTWARE\Microsoft\ Windows NT, 注册表配置单元: 64 位 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 e:\迅雷下载\2449.tmp.exe, PID:1072) 未采取操作
(执行者 e:\迅雷下载\2449.tmp.exe, PID:1072) 未采取操作
事件: 进程启动: c:\Windows\syswow64\ svchost.exe, PID:5352 (执行者 e:\迅雷下载\2449.tmp.exe, PID:1072) 未采取操作
事件: 进程启动: e:\迅雷下载\ 2449.tmp.exe, PID:1072 (执行者 e:\迅雷下载\2449.tmp.exe, PID:1072) 未采取操作
____________________________

可疑操作

(执行者 e:\迅雷下载\2449.tmp.exe, PID:1072) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用



文件名: b7b1.tmp.exe
威胁名称: SONAR.Heuristic.142完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2016/1/28 ( 18:17:59 )

上次使用时间 
2016/1/28 ( 18:17:59 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


b7b1.tmp.exe 威胁名称: SONAR.Heuristic.142
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
b7b1.tmp.exe

____________________________

文件操作

文件: e:\迅雷下载\ b7b1.tmp.exe 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\Sandbox_14465_DefaultBox\Machine\SOFTWARE\Policies\Microsoft\Windows\ Appx, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_14465_DefaultBox\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\ AppModelUnlock, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_14465_DefaultBox\machine\Software\Policies\Microsoft\ Cryptography, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_14465_DefaultBox\machine\Software\Microsoft\ Cryptography, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_14465_DefaultBox\user\current\SOFTWARE\Microsoft\ Windows NT, 注册表配置单元: 64 位 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 e:\迅雷下载\b7b1.tmp.exe, PID:2788) 未采取操作
(执行者 e:\迅雷下载\b7b1.tmp.exe, PID:2788) 未采取操作
事件: 进程启动: c:\Windows\syswow64\ svchost.exe, PID:2176 (执行者 e:\迅雷下载\b7b1.tmp.exe, PID:2788) 未采取操作
事件: 进程启动: e:\迅雷下载\ b7b1.tmp.exe, PID:2788 (执行者 e:\迅雷下载\b7b1.tmp.exe, PID:2788) 未采取操作
____________________________

可疑操作

(执行者 e:\迅雷下载\b7b1.tmp.exe, PID:2788) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

欧阳宣

继续上报

windows7爱好者

墨家小子 发表于 2016-1-28 18:15
@windows7爱好者 数字不报，你试试

，5图片+文档，放于C盘根目录下，环境：win10 X64,实机
1.B7B1双击
数字拦截启动项
然后没反应了...原文件也消失了，文档完好，稍等我再来一次，这次双击4秒后，进程自动退出，无启动项，无加密
2.2449双击
第一次双击运行几秒后自动退出，无启动项，无加密，稍等我再撸一次
第二次运行数字拦截加密
启动项也成功拦截
但是- -
可以看到还是有几个被加密了，我的QQ文档也有一些被加密，依然防御失败
PS:这次是数字国际版

windows7爱好者

刚才看了日志，发现其实第一个样本在我机子只修改启动项，没有加密，第二个依然是防御失败的，虽然加密的比国内版少一些，但是日志和国内版如出一辙
刚才第二个样本又试图修改，我点了阻止，可惜还是被加密了
数字的日志又是重命名

windows7爱好者

惨不忍睹
看来数字国际版依然只是可以防御启动项修改，最后我觉得就是x64的环境问题
说白了数字拦不住注入这一步，从vm001的截图看，win7  32位svchost.exe依然是被注入利用的，但是貌似32位上可以对文档进行整体化的防护

windows7爱好者

本来以为国际版好一些呢
刚才B7B1终于又加密了一些文件，结果最后数字来了个 ，你阻止记事本干嘛，那就是个给用户告知加密的东西....
结果三胞胎变成了图片+网页文件的双胞胎

墨家小子

windows7爱好者 发表于 2016-1-28 19:09
本来以为国际版好一些呢
刚才B7B1终于又加密了一些文件，结果最后数字来了个 ，你阻止记事 ...

官人已经来了，收到反馈，看看今后升级版本吧