File name: 7842.tmp.exe Detection ratio: 2 / 46 Angler Exploit Kit Website 6

显示全部楼层 · 发表于 2016-2-3 10:42:43

windows7爱好者发表于 2016-2-3 10:38
我也不知道为何过了DPH，可能是攻击者改变攻击方式了

这个样本直接注入svchost,的没去注入explorer

显示全部楼层 · 发表于 2016-2-3 10:56:34

vm001 发表于 2016-2-3 10:42
这个样本直接注入svchost,的没去注入explorer

我感觉是我蜘蛛抽风了，这会DPH又能杀了，没有拉黑

显示全部楼层 · 发表于 2016-2-3 11:07:47

cxy密斯发表于 2016-2-3 10:06
允许啊，所以并不喜欢使用Dr.web的墙

不是说很多墙被注入的系统进程联网没反应吗

显示全部楼层 · 发表于 2016-2-3 11:10:22

为了准确，我又把另一个试了一遍，证明可以拦截，那第一次是什么鬼

，难道是我没开主防？

显示全部楼层 · 发表于 2016-2-3 11:12:13

IDP全杀

显示全部楼层 · 发表于 2016-2-3 12:52:54

电脑发烧友发表于 2016-2-3 11:12
IDP全杀

好不容易看到一个使用大A的，呜哇。。。。。。（太激动了，sorry）

显示全部楼层 · 发表于 2016-2-3 12:59:22

FS的DG抽风了？一个也不拦?

显示全部楼层 · 发表于 2016-2-3 13:04:43

1446547521 发表于 2016-2-3 12:59
FS的DG抽风了？一个也不拦?

卧槽，早上蜘蛛DPH也抽风了，防火墙把我救了，第二遍DPH才杀，握手

显示全部楼层 · 发表于 2016-2-3 13:05:19

本帖最后由 aboringman 于 2016-2-3 13:07 编辑

今天心情不好，老板给我上几道重口味的菜

ESET：

扫描：killed；

C:\Users\kiiler\Desktop\7842.tmp.exe - Win32/Filecoder.CryptoWall.G trojan - cleaned by deleting [1]

双击：今天换两种方式，突然发现ESET有两种玩法（关闭AMS测BP【勒索专用】，还有单测AMS），现在就让大家见识下。。。。。。

单测AMS：

Time;Scanner;Object type;Object;Threat;Action;User;Information;Hash

2016/2/3 12:54:44;Advanced memory scanner;file;Operating memory » 7842.tmp.exe(2732);Win32/Kryptik.CKQZ trojan;cleaned - contained infected files;;;17C6020A93ECAAA037D78545DD1612FF11C7C007

关闭AMS，BP登场（与WP联手阻止）：

首先是BP：

Time;Event;Source;Target;Protocol;Rule/worm name;Application;User

2016/2/3 12:56:28;Suspected botnet detected;192.168.1.102:54754;185.67.240.46:80;TCP;Win32/CryptoWall;C:\Windows\System32\svchost.exe;kiiler-PC\kiiler

2016/2/3 12:56:15;Suspected botnet detected;192.168.1.102:54752;195.228.254.90:80;TCP;Win32/CryptoWall;C:\Windows\System32\svchost.exe;kiiler-PC\kiiler

2016/2/3 12:56:05;Suspected botnet detected;192.168.1.102:54750;151.80.243.154:80;TCP;Win32/CryptoWall;C:\Windows\System32\svchost.exe;kiiler-PC\kiiler

2016/2/3 12:55:57;Suspected botnet detected;192.168.1.102:54749;192.121.166.102:80;TCP;Win32/CryptoWall;C:\Windows\System32\svchost.exe;kiiler-PC\kiiler

WP联手阻止攻击：

Time;URL;Status;Application;User;IP address

2016/2/3 12:56:28;http://litatex.com/4bnu_K.php?k=rtm248sg0y1x;Blocked by internal blacklist;C:\Windows\System32\svchost.exe;kiiler-PC\kiiler;185.67.240.46

2016/2/3 12:56:15;http://volgyiattila.com/4t8H6r.php?k=44d4qn16aecdr1t;Blocked by internal blacklist;C:\Windows\System32\svchost.exe;kiiler-PC\kiiler;195.228.254.90

2016/2/3 12:56:05;http://bilgindefterli.com/IAk2Qi.php?p=ed70sh0g0dlgo;Blocked by internal blacklist;C:\Windows\System32\svchost.exe;kiiler-PC\kiiler;151.80.243.154

2016/2/3 12:55:57;http://trivet.sk/174DQV.php?u=azjm24y3a618cyx;Blocked by internal blacklist;C:\Windows\System32\svchost.exe;kiiler-PC\kiiler;192.121.166.102

可惜被注入的svchost.exe无法被结束（于是还会有更多的阻止弹窗），测试者最后直接手动结束了被注入的svchost.exe

显示全部楼层 · 发表于 2016-2-3 13:07:10

aboringman 发表于 2016-2-3 12:52
好不容易看到一个使用大A的，呜哇。。。。。。（太激动了，sorry）

表激动，另外，大A免费版没有防火墙，请问什么可以搭配一下。

[可疑文件] File name: 7842.tmp.exe Detection ratio: 2 / 46 Angler Exploit Kit Website 6

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块