File name: 9660.tmp.exe Detection ratio: 5 / 55 Angler Exploit Kit Website 21

显示全部楼层 · 发表于 2016-2-23 09:10:02

本帖最后由墨家小子于 2016-2-23 09:11 编辑

SHA256: cfcbdd215e7e204f0ecf447add7e7ecece4bd6e608ef98dc20bc90edebcdd23e
File name: 9660.tmp.exe
Detection ratio: 5 / 55
Analysis date: 2016-02-23 01:04:22 UTC ( 1 minute ago )
https://www.virustotal.com/en/file/cfcbdd215e7e204f0ecf447add7e7ecece4bd6e608ef98dc20bc90edebcdd23e/analysis/1456189462/

Fortinet W32/Cryptolocker.M!tr 20160223
McAfee Ransom-Teerac!6EAAE1B6F1F7 20160223
Qihoo-360 HEUR/QVM07.1.Malware.Gen 20160223
Rising PE:Trojan.Ransom-Tesla!1.A322 [F] 20160222
TrendMicro-HouseCall Ransom_CRYPTESLA.SMJ5 20160222

IPS捕获：2016/2/23 9:02:41,高,阻止了 localhost 的入侵企图,已阻止,不需要操作,Web Attack: Angler Exploit Kit Website 21,不需要操作,不需要操作,"localhost (127.0.0.1, XXXX)",muirm.schneider-home-service.info/boards/search.php?keywords=4k1&fid0=18x2i5839f097939s4s6,"localhost (127.0.0.1, 3XXX)",localhost (127.0.0.1),"TCP, socks",

显示全部楼层 · 发表于 2016-2-23 09:12:43

本帖最后由 windows7爱好者于 2016-2-23 10:14 编辑

DPH击杀

显示全部楼层 · 发表于 2016-2-23 09:31:06

本帖最后由 C-FBI-QM 于 2016-2-23 09:32 编辑

下载附件失败，小A拦截
解压+右键检测无威胁

显示全部楼层 · 发表于 2016-2-23 09:34:48

C-FBI-QM 发表于 2016-2-23 09:31
下载附件失败，小A拦截
解压+右键检测无威胁

报法是否为URL：MAL？

如果是，请排除后再试。（此报法为小A拉黑卡饭附件下载地址所致）

显示全部楼层 · 发表于 2016-2-23 09:47:13

本帖最后由 C-FBI-QM 于 2016-2-23 09:48 编辑

aboringman 发表于 2016-2-23 09:34
报法是否为URL：MAL？

如果是，请排除后再试。（此报法为小A拉黑卡饭附件下载地址所致）

明白，排除之后无反应

显示全部楼层 · 发表于 2016-2-23 09:51:52

文件名: 9660.tmp.exe
威胁名称: SONAR.SelfHijack!gen1
完整路径: 不可用

____________________________

详细信息
极少用户信任的文件, 极新的文件, 风险高

原始
下载自
未知

活动
已执行的操作: 13

____________________________

在电脑上的创建时间
2016-2-23 ( 09:48:50 )

上次使用时间
2016-2-23 ( 09:48:50 )

启动项目
否

已启动
是

____________________________

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

来源: 外部介质

源文件:
9660.tmp.exe

____________________________

文件操作

文件: f:\norton样本\ 9660.tmp.exe 已删除
事件: 正在运行进程: f:\norton样本\ 9660.tmp.exe 已终止
____________________________

注册表操作

注册表更改: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\ 9660_RASAPI32 已删除
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ 9660_RASAPI32->EnableFileTracing 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ 9660_RASAPI32->EnableConsoleTracing 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ 9660_RASAPI32->FileTracingMask 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ 9660_RASAPI32->ConsoleTracingMask 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ 9660_RASAPI32->MaxFileSize 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ 9660_RASAPI32->FileDirectory 不需要操作
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\9660.tmp.exe, PID:4436) 未采取操作
(执行者 f:\norton样本\9660.tmp.exe, PID:4436) 未采取操作
事件: 进程启动: f:\norton样本\ 9660.tmp.exe, PID:792 (执行者 f:\norton样本\9660.tmp.exe, PID:4436) 未采取操作
事件: 进程启动: f:\norton样本\ 9660.tmp.exe, PID:4436 (执行者 f:\norton样本\9660.tmp.exe, PID:4436) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-2-23 10:18:55

卡巴扫描miss，双击主防拦截并回滚

23.02.2016 10.11.38;恶意程序的操作已回滚;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\9660.tmp.exe;c:\users\administrator\downloads\9660.tmp.exe;02/23/2016 10:11:38
23.02.2016 10.11.38;恶意程序的操作已回滚;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\9660.tmp.exe;c:\users\administrator\downloads\9660.tmp.exe;02/23/2016 10:11:38
23.02.2016 10.11.38;恶意程序的操作已回滚;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\9660.tmp.exe;c:\sandbox\administrator\defaultbox\drive\c\windows\ikcpgpeomrnn.exe;02/23/2016 10:11:38
23.02.2016 10.11.38;恶意程序的操作已回滚;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\9660.tmp.exe;c:\sandbox\administrator\defaultbox\drive\c\windows\ikcpgpeomrnn.exe;02/23/2016 10:11:38
23.02.2016 10.11.38;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\microsoft\internet explorer\brndlog.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\microsoft\internet explorer\brndlog.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ikcpgpeomrnn.exe;c:\users\administrator\downloads\9660.tmp.exe;02/23/2016 10:11:38
23.02.2016 10.11.38;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\recovery+xraqw.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\recovery+xraqw.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ikcpgpeomrnn.exe;c:\users\administrator\downloads\9660.tmp.exe;02/23/2016 10:11:38
23.02.2016 10.11.38;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\color\recovery+xraqw.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\color\recovery+xraqw.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ikcpgpeomrnn.exe;c:\users\administrator\downloads\9660.tmp.exe;02/23/2016 10:11:38
23.02.2016 10.11.38;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\color\profiles\recovery+xraqw.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\color\profiles\recovery+xraqw.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ikcpgpeomrnn.exe;c:\users\administrator\downloads\9660.tmp.exe;02/23/2016 10:11:38
23.02.2016 10.11.38;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\acrobat\recovery+xraqw.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\acrobat\recovery+xraqw.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ikcpgpeomrnn.exe;c:\users\administrator\downloads\9660.tmp.exe;02/23/2016 10:11:38
23.02.2016 10.11.38;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\acrobat\11.0\recovery+xraqw.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\acrobat\11.0\recovery+xraqw.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ikcpgpeomrnn.exe;c:\users\administrator\downloads\9660.tmp.exe;02/23/2016 10:11:38
23.02.2016 10.11.38;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\acrobat\11.0\cache\recovery+xraqw.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\acrobat\11.0\cache\recovery+xraqw.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ikcpgpeomrnn.exe;c:\users\administrator\downloads\9660.tmp.exe;02/23/2016 10:11:38
23.02.2016 10.11.38;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\drive\c\$recycle.bin\s-1-5-21-2382313841-2341094415-2425494424-500\$r1yaec7.rar;c:\sandbox\administrator\defaultbox\drive\c\$recycle.bin\s-1-5-21-2382313841-2341094415-2425494424-500\$r1yaec7.rar;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ikcpgpeomrnn.exe;c:\users\administrator\downloads\9660.tmp.exe;02/23/2016 10:11:38
23.02.2016 10.11.38;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\drive\c\$recycle.bin\s-1-5-21-2382313841-2341094415-2425494424-500\$r0x8o4h.rar;c:\sandbox\administrator\defaultbox\drive\c\$recycle.bin\s-1-5-21-2382313841-2341094415-2425494424-500\$r0x8o4h.rar;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ikcpgpeomrnn.exe;c:\users\administrator\downloads\9660.tmp.exe;02/23/2016 10:11:38
23.02.2016 10.11.38;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\drive\c\$recycle.bin\s-1-5-21-2382313841-2341094415-2425494424-500\$i1yaec7.rar;c:\sandbox\administrator\defaultbox\drive\c\$recycle.bin\s-1-5-21-2382313841-2341094415-2425494424-500\$i1yaec7.rar;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\ikcpgpeomrnn.exe;c:\users\administrator\downloads\9660.tmp.exe;02/23/2016 10:11:38
23.02.2016 10.10.27;恶意程序已删除;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\9660.tmp.exe;c:\users\administrator\downloads\9660.tmp.exe;02/23/2016 10:10:27
23.02.2016 10.10.27;恶意程序已删除;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\9660.tmp.exe;c:\users\administrator\downloads\9660.tmp.exe;02/23/2016 10:10:27
23.02.2016 10.10.27;恶意程序已删除;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\9660.tmp.exe;c:\sandbox\administrator\defaultbox\drive\c\windows\ikcpgpeomrnn.exe;02/23/2016 10:10:27
23.02.2016 10.10.27;恶意程序已删除;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\9660.tmp.exe;c:\sandbox\administrator\defaultbox\drive\c\windows\ikcpgpeomrnn.exe;02/23/2016 10:10:27
23.02.2016 10.10.15;恶意程序已终止;PDM:Trojan.Win32.Generic;Proletarians Postillion Suppliant;c:\users\administrator\downloads\9660.tmp.exe;02/23/2016 10:10:15
23.02.2016 10.10.15;恶意程序已终止;PDM:Trojan.Win32.Generic;Proletarians Postillion Suppliant;c:\sandbox\administrator\defaultbox\drive\c\windows\ikcpgpeomrnn.exe;02/23/2016 10:10:15
23.02.2016 10.10.15;恶意程序已终止;PDM:Trojan.Win32.Generic;Proletarians Postillion Suppliant;c:\users\administrator\downloads\9660.tmp.exe;02/23/2016 10:10:15
23.02.2016 10.10.15;恶意程序已终止;PDM:Trojan.Win32.Generic;Proletarians Postillion Suppliant;c:\sandbox\administrator\defaultbox\drive\c\windows\ikcpgpeomrnn.exe;02/23/2016 10:10:15
23.02.2016 10.10.15;检测到恶意程序;PDM:Trojan.Win32.Generic;Proletarians Postillion Suppliant;c:\sandbox\administrator\defaultbox\drive\c\windows\ikcpgpeomrnn.exe;02/23/2016 10:10:15
23.02.2016 10.10.15;检测到恶意程序;PDM:Trojan.Win32.Generic;Proletarians Postillion Suppliant;c:\users\administrator\downloads\9660.tmp.exe;02/23/2016 10:10:15
23.02.2016 10.10.15;检测到恶意程序;PDM:Trojan.Win32.Generic;Proletarians Postillion Suppliant;c:\users\administrator\downloads\9660.tmp.exe;02/23/2016 10:10:15
23.02.2016 10.10.15;检测到恶意程序;PDM:Trojan.Win32.Generic;Proletarians Postillion Suppliant;c:\sandbox\administrator\defaultbox\drive\c\windows\ikcpgpeomrnn.exe;

显示全部楼层 · 发表于 2016-2-24 08:10:21

楼主辛苦了，其它的没什么想说的了。

显示全部楼层 · 发表于 2016-2-24 09:36:37

ESS

显示全部楼层 · 发表于 2016-2-24 20:56:31

阿菠萝密发表于 2016-2-24 08:10
楼主辛苦了，其它的没什么想说的了。

你是水贴的吗？楼主有人水贴@墨家小子

[可疑文件] File name: 9660.tmp.exe Detection ratio: 5 / 55 Angler Exploit Kit Website 21

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块