File name: C59.tmp.exe Detection ratio: 2 / 54 加密勒索挂马 ESET hips拦截注入

显示全部楼层 · 发表于 2016-1-29 08:50:10

本帖最后由墨家小子于 2016-1-29 09:18 编辑

SHA256: 9e21e2c45d5ff0ce0fbfdb772fc824abc261650c2a9500f700cb731e03303797
File name: C59.tmp.exe
Detection ratio: 2 / 54
Analysis date: 2016-01-29 00:47:22 UTC ( 1 minute ago )
https://www.virustotal.com/en/file/9e21e2c45d5ff0ce0fbfdb772fc824abc261650c2a9500f700cb731e03303797/analysis/1454028442/

AegisLab DangerousObject.Multi.Gen 20160128
VIPRE Trojan.Win32.Generic.pak!cobra 20160129

尝试用ESET的hips拦截加密勒索木马注入系统程序的防御，看第三张截图，结果很不错，如果选拒绝，那样本没有下一步行为

再次进入挂马网页，开启HMPA，貌似执行恶意代码的瞬间，HMPA怒吼：都别装逼成不？！我是领导，我先来！！

显示全部楼层 · 发表于 2016-1-29 09:02:04

@windows7爱好者数字不报，你试试

显示全部楼层 · 发表于 2016-1-29 09:13:30

诺顿
扫描miss，双击

文件名: c59.tmp.exe
威胁名称: SONAR.SuspBeh!gen244完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间 
2016/1/29 ( 9:11:12 )

上次使用时间 
2016/1/29 ( 9:11:12 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

c59.tmp.exe 威胁名称: SONAR.SuspBeh!gen244
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
7zfm.exe

创建的文件:
c59.tmp.exe

____________________________

文件操作

文件: c:\users\test\desktop\ c59.tmp.exe 威胁已删除
目录: c:\users\test\appdata\roaming\ d1e33fe 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\test\desktop\c59.tmp.exe, PID:3496) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ svchost.exe, PID:3784 (执行者 c:\users\test\desktop\c59.tmp.exe, PID:3496) 未采取操作
事件: 进程启动: c:\users\test\desktop\ c59.tmp.exe, PID:3496 (执行者 c:\users\test\desktop\c59.tmp.exe, PID:3496) 未采取操作
事件: PE 文件创建: c:\users\test\appdata\roaming\d1e33fe\ e62d1.exe (执行者 c:\users\test\desktop\c59.tmp.exe, PID:3496) 未采取操作
____________________________

可疑操作

(执行者 c:\users\test\desktop\c59.tmp.exe, PID:3496) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-1-29 09:26:35

kis

显示全部楼层 · 发表于 2016-1-29 09:40:56

墨家小子发表于 2016-1-29 09:02
@windows7爱好者数字不报，你试试

下载保护报了，右键扫描没报

没有测试双击（没64位系统）样本赠送了首歌

显示全部楼层 · 发表于 2016-1-29 10:20:30

AVG：

扫描：miss（有AI居然还是这颓废样，唉）；

双击：实机双击，不久后IDP击杀并回滚之（其实就是阻止svchost.exe的后续操作，清除本体而已。。。。。。）

"";"IDP.HELU.UES11, C:\Users\kiiler\Desktop\C59.tmp.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/1/29, 10:17:41"
"";", C:\Windows\System32\svchost.exe";"Object was blocked";"Process";"2016/1/29, 10:17:41"
"";", C:\Users\kiiler\Desktop\C59.tmp.exe";"Object was blocked";"Process";"2016/1/29, 10:17:41"

显示全部楼层 · 发表于 2016-1-29 10:26:32

显示全部楼层 · 发表于 2016-1-29 11:12:03

aboringman 发表于 2016-1-29 10:20
AVG：

扫描：miss（有AI居然还是这颓废样，唉）；

问一下，双击是在win10吗？

显示全部楼层 · 发表于 2016-1-29 11:15:21

开开心心卖手机发表于 2016-1-29 11:12
问一下，双击是在win10吗？

测试环境为：Win7 Pro 32位

显示全部楼层 · 发表于 2016-1-29 11:17:07

aboringman 发表于 2016-1-29 11:15
测试环境为：Win7 Pro 32位

这样啊

[可疑文件] File name: C59.tmp.exe Detection ratio: 2 / 54 加密勒索挂马 ESET hips拦截注入

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块