File name: 9A14.tmp Detection ratio: 3 / 52 Rig Exploit Kit Redirect 挂马

显示全部楼层 · 发表于 2016-2-1 10:31:33

SHA256: e122aa00f79242ad3cf98813bc0ca052214360a3ffb74a31dcf97099a8b09085
File name: 9A14.tmp
Detection ratio: 3 / 52
Analysis date: 2016-02-01 02:27:41 UTC ( 0 minutes ago )
https://www.virustotal.com/en/file/e122aa00f79242ad3cf98813bc0ca052214360a3ffb74a31dcf97099a8b09085/analysis/1454293661/

ESET-NOD32 a variant of Win32/Injector.CNJV 20160130
Microsoft VirTool:Win32/VBInject.AES 20160130
Qihoo-360 QVM03.0.Malware.Gen 20160201

2016/2/1 10:19:11,高,阻止了 localhost 的入侵企图,已阻止,不需要操作,,不需要操作,不需要操作,Web Attack: Rig Exploit Kit Redirect,"localhost (127.0.0.1, 3XXX7)",gde4to.ru/engine/mcbx7mln.php?id=15813432,"localhost (127.0.0.1, 1XXX4)",localhost (127.0.0.1),"TCP, 端口 31107",,,

显示全部楼层 · 发表于 2016-2-1 10:34:46

时间;扫描程序;对象类型;对象;威胁;操作;用户;信息;哈希
2016/2/1 10:34:05;文档防护;文件;hxxp://att.kafan.cn/forum.php?mod=attachment&aid=Mjc1MjY4NXwyZmVlNmExNnwxNDU0Mjk0MDA4fDk3NTc3MnwxOTYxMjkx;Win32/Injector.CRHP 特洛伊木马的变种;已删除;DESKTOP-JIBODQF\小之之;;
2016/2/1 10:33:57;文档防护;文件;hxxp://att.kafan.cn/forum.php?mod=attachment&aid=Mjc1MjY4NHxkMWQ5ZGZmYXwxNDU0Mjk0MDA4fDk3NTc3MnwxOTYxMjkx;Win32/Injector.CRHP 特洛伊木马的变种;已删除;DESKTOP-JIBODQF\小之之;;
2016/2/1 10:33:42;文档防护;文件;hxxp://att.kafan.cn/forum.php?mod=attachment&aid=Mjc1MjY4M3w3ZDFjN2I1MXwxNDU0Mjk0MDA4fDk3NTc3MnwxOTYxMjkx;Win32/Injector.CRHP 特洛伊木马的变种;已删除;DESKTOP-JIBODQF\小之之;;

我这里eset报的有些不同

显示全部楼层 · 发表于 2016-2-1 10:40:48

总算有点安慰

显示全部楼层 · 发表于 2016-2-1 11:16:07

本帖最后由 windows7爱好者于 2016-2-1 12:50 编辑

这个样本好像不喜欢我的系统，触发不了蜘蛛的DPH，文档没有被加密
只能通过开启监控触发DPD击杀，DPD据龙大的解释就是特征码查杀在静态扫描不管用时（加壳什么的），通过动态运行识别一类样本，然后击杀

显示全部楼层 · 发表于 2016-2-1 11:19:47

本帖最后由挥泪斩情思于 2016-2-1 11:22 编辑

卡巴

显示全部楼层 · 发表于 2016-2-1 11:26:42

KIS清空

显示全部楼层 · 发表于 2016-2-1 12:03:01

windows7爱好者发表于 2016-2-1 11:16
这个样本好像不喜欢我的系统，触发不了蜘蛛的DPH，文档没有被加密
只能通过触发DPD击杀，DPD据龙大的解释 ...

哪个告诉你说我的样本就只有加密勒索？我的胃口有时候也蛮清淡的

显示全部楼层 · 发表于 2016-2-1 12:26:19

墨家小子发表于 2016-2-1 12:03
哪个告诉你说我的样本就只有加密勒索？我的胃口有时候也蛮清淡的

你发了这么多天加密勒索，我以为你爱上它了呢

显示全部楼层 · 发表于 2016-2-1 12:46:24

本帖最后由 aboringman 于 2016-2-1 12:50 编辑

AVG：

扫描：miss；

双击：实机双击，IDP击杀之（仅击杀衍生物并回滚其部分操作，本体不杀）。

"";"Unknown, C:\Users\kiiler\vebkclks.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/2/1, 12:43:55"
"";", C:\Windows\System32\svchost.exe";"Object was blocked";"Process";"2016/2/1, 12:43:55"
"";", C:\Users\kiiler\vebkclks.exe";"Object was blocked";"Process";"2016/2/1, 12:43:55"
"";", HKEY_USERS\S-1-5-21-2236816692-667211127-2861217297-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\MSCONFIG";"Deleted, Moved to Virus Vault";"Registry value";"2016/2/1, 12:43:55"

ESET：

扫描：pass；

双击：关闭监控，实机双击，这不可能，AMS 击杀之。。。。。。

Time;Scanner;Object type;Object;Threat;Action;User;Information;Hash

2016/2/1 12:48:56;Advanced memory scanner;file;Operating memory » C:\Users\kiiler\Desktop\9A14.tmp.exe;a variant of Win32/Agent.OBA trojan;cleaned;;;52C9692E3BFF37FE29E3990B2F24C9EC33761308

显示全部楼层 · 发表于 2016-2-1 12:51:30

pal家族发表于 2016-2-1 10:34
时间;扫描程序;对象类型;对象;威胁;操作;用户;信息;哈希
2016/2/1 10:34:05;文档防护;文件;hxxp://att.kaf ...

居然用起了ESET。。。。。。

感觉怎样

[可疑文件] File name: 9A14.tmp Detection ratio: 3 / 52 Rig Exploit Kit Redirect 挂马

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块