Detection ratio: 4 / 55 Angler Exploit Kit Flash Exploit 6 加密勒索挂马

墨家小子

SHA256:        ccace6fd71aeefa183ec1d8bcf8cef9ca043fc0f2e56ec6607d555a5a82820ae
File name:        8C13.tmp.exe
Detection ratio:        4 / 55
Analysis date:        2016-02-21 10:09:26 UTC ( 0 minutes ago )
https://www.virustotal.com/en/file/ccace6fd71aeefa183ec1d8bcf8cef9ca043fc0f2e56ec6607d555a5a82820ae/analysis/1456049366/

AegisLab        Troj.W32.Gen        20160221
ESET-NOD32        a variant of Win32/Kryptik.EOSJ        20160221
Qihoo-360        HEUR/QVM41.1.Malware.Gen        20160221
Rising        PE:Trojan.Kryptik!1.A32E [F]        20160221

IPS拦截（目测有些选手又该拿不知所谓的日志来做广告了）

qftest

这个跳跃有点大啊，什么时侯控制的IE浏览器？

1446547521

"";"IDP.SEMS.A11, C:\Users\jhon\Documents\npfumymdrbpc.exe";"已删除, 已隔离";"文件或目录";"2016/2/21, 18:20:37"
"";", E:\迅雷下载\8C13.TMP.EXE";"已阻止该对象";"进程";"2016/2/21, 18:20:37"
"";", E:\迅雷下载\8C13.TMP.EXE";"已阻止该对象";"进程";"2016/2/21, 18:20:37"
"";", E:\迅雷下载\8C13.TMP.EXE";"已阻止该对象";"进程";"2016/2/21, 18:20:37"
"";", C:\Windows\syswow64\cmd.exe";"已阻止该对象";"进程";"2016/2/21, 18:20:37"
"";", C:\Windows\System32\conhost.exe";"已阻止该对象";"进程";"2016/2/21, 18:20:37"
"";", C:\Windows\syswow64\WerFault.exe";"已阻止该对象";"进程";"2016/2/21, 18:20:37"
"";", C:\Windows\syswow64\WerFault.exe";"已阻止该对象";"进程";"2016/2/21, 18:20:37"
"";", D:\SB\SandboxieCrypto.exe";"已阻止该对象";"进程";"2016/2/21, 18:20:37"
"";", D:\SB\SandboxieCrypto.exe";"已阻止该对象";"进程";"2016/2/21, 18:20:37"
"";", E:\迅雷下载\8C13.TMP.EXE";"已删除";"文件或目录";"2016/2/21, 18:20:37"
"";", C:\Users\jhon\Documents\npfumymdrbpc.exe";"已阻止该对象";"进程";"2016/2/21, 18:20:37"
"";", HKEY_USERS\S-1-5-21-1210211650-4209756102-4011342482-1002\SOFTWARE\3450FEF7AE8D2525";"已删除, 已隔离";"注册表项";"2016/2/21, 18:20:37"
"";", HKEY_USERS\S-1-5-21-1210211650-4209756102-4011342482-1002\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\FWSNGTJBIHGE";"已删除, 已隔离";"注册表值";"2016/2/21, 18:20:37"

墨家小子

qftest 发表于 2016-2-21 18:21
这个跳跃有点大啊，什么时侯控制的IE浏览器？

我说你去wilderssecurity去问问VS老大，要是木马没有后缀名或者是以exe等之外的后缀名运行的时候能不能拦截？

pal家族

咔吧扫描miss

aboringman

不错，你的言外之意我清楚了，既然那么喜欢扣帽子，那就扣吧，我不介意

所有文档格式，音频格式，还有动态链接库等等皆可以双击，我现在就担下了，如何，满意了吧

icedream89

ess9解压杀，今天太累了，休息= =不想动 不双击

windows7爱好者

AVA 25.4273
GD 25.5863

*** 进程 ***

进程: 7512
文件名: 8c13.tmp.exe
路径: f:\8c13.tmp.exe

发行商：: 未知发行商
创建日期: 02/21/16 10:46:58
修改日期: 02/21/16 09:57:43

启动进程：: explorer.exe
发行商：: Microsoft Windows


*** 操作 ***

程序已将文件保存在系统文件夹。
程序已创建或已操作可执行文件。
程序进行了自我复制。
程序已复制自身到Windows文件夹。
程序在Windows文件夹已创建或已操作一个可执行文件。


*** 隔离区 ***

下列文件被转入隔离区：
F:\8C13.tmp.exe
c:\windows\xucvadxaoioe.exe

下列注册表项被删除：


YGLhuPLQcnJycmJi4HJyKienYmJwKCcnJycmBqdCJyd0cmJicCsnJycnJga5YuG40qAmJycnJyYG7HJycnJiYsAvJycnJyYGz3JycnJiYnCXcnJycmJicLhycnJyYmJwupLBNWYrJxlcY7ZyYmJwi3JycnJiYnCrcoJwjnLCcJ5yknKSYmIAAA
规则版本： 5.0.71
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 32bit OS
DLL版本： 55982

"F:\8C13.tmp.exe"
MD5: 494DC11AAD41EB7B3F91562CC8F8C3A6
C:\Windows\Explorer.EXE
MD5:

qftest

墨家小子 发表于 2016-2-21 18:26
我说你去wilderssecurity去问问VS老大，要是木马没有后缀名或者是以exe等之外的后缀名运行的时候能不能拦 ...

我在那的帐号早就忘记密码了也取不回来，后来又注册了一个结果被封了，原因是看到有人说“从未听过有注入利用explorer\svchost的野生病毒”后直接发了样本链接和截图给对方，于是被管理员封号
不过即使可以直接与丹老师交流我也是不敢的，你没见r41p41那时被嘲讽成什么样子（相关帖已被删），气得人家在自己博客吐槽那个论坛的管理员是SB，当时围观的也有人看不下去

总之我不敢跟丹老师说话
回到主楼，win10x64没看到IE出现，有点不同的是写启动项+调用wmi+试图修改sihost.exe之后就没动静了，感觉跟win10不太兼容的样子

itismelsy

卡巴主防杀