Detection ratio: 9 / 54 Web Attack: Angler Exploit Kit Website 21 挂马

墨家小子

SHA256:        9c03ef393729398c41820aecf879b9bfe541c5bb7e3d2d49db85b7454e1ce639
File name:        4264.tmp.exe
Detection ratio:        9 / 54
Analysis date:        2016-02-07 04:41:32 UTC ( 0 minutes ago )
https://www.virustotal.com/en/file/9c03ef393729398c41820aecf879b9bfe541c5bb7e3d2d49db85b7454e1ce639/analysis/1454820092/

AegisLab        Uds.Dangerousobject.Multi!c        20160207
Baidu-International        Adware.Win32.iBryte.ENAH        20160206
ESET-NOD32        a variant of Win32/Kryptik.ENAH        20160207
Kaspersky        Trojan.Win32.Yakes.oyjj        20160207
Malwarebytes        Ransom.CryptoWall        20160207
McAfee        RDN/Suspicious.bfr        20160207
McAfee-GW-Edition        BehavesLike.Win32.PWSZbot.dc        20160207
Qihoo-360        HEUR/QVM07.1.Malware.Gen        20160207
Rising        PE:Malware.XPACK/RDM!5.1 [F]        20160206

2016/2/7 12:35:09,高,阻止了 kruidjepupiledpatria.brujodiabolico.com 的入侵企图,已阻止,不需要操作,Web Attack: Angler Exploit Kit Website 21,不需要操作,不需要操作,"kruidjepupiledpatria.brujodiabolico.com (188.127.231.73, 80)",kruidjepupiledpatria.brujodiabolico.com/boards/search.php?keywords=38&fid0=wk4.2cul6402912,"XXX-PC (XXXXX6, 9XX0)",kruidjepupiledpatria.brujodiabolico.com (188.127.231.73),"TCP, www-http",

电脑发烧友

火绒扫描杀，双击完美被过。

Huorong Network Security Suite v3.0.11.2 (Last update: 2016-02-05 13:19)
Copyright (C) Huorong Borui (Beijing) Technology Co., Ltd. All rights reserved.

Scan engine version:v2.0.3.0
Signature database fingerprint: 40162d0:96a63d3:965e05b:965e05b
Signature database timestamp: 2016-02-05 13:19

Scan started at:   2016-02-07 12:47:33

C:\Users\wuliao\Desktop\4264.tmp.rar >> 4264.tmp.exe: HEUR:VirTool/Obfuscator.gen!C
C:\Users\wuliao\Desktop\C0BC.tmp.rar >> C0BC.tmp.exe: HEUR:VirTool/Obfuscator.gen!C

Scan completed at: 2016-02-07 12:47:33

Total:             2 file(s), 4 objects(s)
Infected:          2 file(s), 2 objects(s)
Deleted:           0 file(s), 0 failure(s)
Disinfected:       0 file(s), 0 failure(s)
Duration:          00:00:00

windows7爱好者

无启动项

1446547521

icedream89

EES9
日志
正在扫描日志
病毒库版本: 12989 (20160206)
日期: 2016/2/7 星期日  时间: 13:05:29
已扫描的磁盘、文件夹和文件: D:\个人文件\桌面\4264.tmp.rar;D:\个人文件\桌面\C0BC.tmp.rar
D:\个人文件\桌面\4264.tmp.rar > RAR > 4264.tmp.exe - Win32/Kryptik.ENAH 特洛伊木马 的变种 - 已删除
D:\个人文件\桌面\C0BC.tmp.rar > RAR > C0BC.tmp.exe - Win32/Kryptik.ENAH 特洛伊木马 的变种 - 已删除
已扫描的对象数: 2
发现的威胁数: 2
已清除对象数: 2
完成时间: 13:05:30  总扫描时间: 1 秒 (00:00:01)



ns双击= =
[mw_shl_code=css,true]文件名: c0bc.tmp.exe
威胁名称: SONAR.Heuristic.132完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间?
2016/2/7 ( 12:59:42 )

上次使用时间?
2016/2/7 ( 12:59:42 )

启动项目?
否

已启动?
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


c0bc.tmp.exe 威胁名称: SONAR.Heuristic.132
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
c0bc.tmp.exe

____________________________

文件操作

文件: c:\users\administrator\desktop\ c0bc.tmp.exe 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\administrator\desktop\c0bc.tmp.exe, PID:3000) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ svchost.exe, PID:3044 (执行者 c:\users\administrator\desktop\c0bc.tmp.exe, PID:3000) 未采取操作
事件: 进程启动: c:\users\administrator\desktop\ c0bc.tmp.exe, PID:3000 (执行者 c:\users\administrator\desktop\c0bc.tmp.exe, PID:3000) 未采取操作
____________________________

可疑操作

(执行者 c:\users\administrator\desktop\c0bc.tmp.exe, PID:3000) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
文件名: 4264.tmp.exe
威胁名称: SONAR.Heuristic.132完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间?
2016/2/7 ( 13:01:05 )

上次使用时间?
2016/2/7 ( 13:01:05 )

启动项目?
否

已启动?
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


4264.tmp.exe 威胁名称: SONAR.Heuristic.132
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
4264.tmp.exe

____________________________

文件操作

文件: c:\users\administrator\desktop\ 4264.tmp.exe 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\administrator\desktop\4264.tmp.exe, PID:3000) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ svchost.exe, PID:1880 (执行者 c:\users\administrator\desktop\4264.tmp.exe, PID:3000) 未采取操作
事件: 进程启动: c:\users\administrator\desktop\ 4264.tmp.exe, PID:3000 (执行者 c:\users\administrator\desktop\4264.tmp.exe, PID:3000) 未采取操作
____________________________

可疑操作

(执行者 c:\users\administrator\desktop\4264.tmp.exe, PID:3000) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
[/mw_shl_code]

欧阳宣

咖啡居然已经写出签名来了。。

z2009

avg解压即妙

aboringman

AVG：

扫描：pass；

双击：关闭监控，实机双击，IDP趁本体不注意，立刻击杀了它。。。。。。

"";"IDP.Program.D1B0A5C0, C:\Users\kiiler\Desktop\4264.tmp.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/2/7, 15:49:08"
"";", C:\Users\kiiler\Desktop\4264.tmp.exe";"Object was blocked";"Process";"2016/2/7, 15:49:08"

xcvbaby

金山毒霸;killed

z2009

aboringman 发表于 2016-2-7 15:50
AVG：

扫描：pass；

不需要双击的吧，解压就被秒了

看清楚了，原来是关闭监控的，测试双击的，呵呵