收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 File name: 6828.tmp.exe Detection ratio: 6 / 55 IPS ...
12下一页
返回列表 发新帖
查看: 3985|回复: 18
收起左侧

[可疑文件] File name: 6828.tmp.exe Detection ratio: 6 / 55 IPS未拦截,目测加密勒索挂马

[复制链接]
墨家小子
发表于 2016-3-1 12:38:23 | 显示全部楼层 |阅读模式
本帖最后由 墨家小子 于 2016-3-1 12:40 编辑

SHA256:        d15bf14ab76b79158f32291fa59239d3c4afeedcb9dbf9922c1555c8835ad619
File name:        6828.tmp.exe
Detection ratio:        6 / 55
Analysis date:        2016-03-01 04:28:08 UTC ( 1 minute ago )
https://www.virustotal.com/en/file/d15bf14ab76b79158f32291fa59239d3c4afeedcb9dbf9922c1555c8835ad619/analysis/1456806488/

Fortinet        W32/Drokre.C!tr        20160301
Malwarebytes        Ransom.TeslaCrypt        20160301
McAfee-GW-Edition        BehavesLike.Win32.PWSZbot.gc        20160301
Qihoo-360        HEUR/QVM19.1.Malware.Gen        20160301
Rising        PE:Malware.XPACK-LNR/Heur!1.5594 [F]        20160225
Tencent        Win32.Trojan.Bp-ransomware.Ejqz        20160301

实机,换一个IP进去,就有不同挂马,IPS没有反应,下载智能分析提示,HMPA拦截!





HMPA拦截日志:

Mitigation   CallerCheck

Platform     6.3.9600/x64 06_3d
PID          9632
Application  C:\Program Files (x86)\Internet Explorer\iexplore.exe
Description  Internet Explorer 11

Callee Type  CreateProcess
             C:\Users\AAA\AppData\Local\Temp\Low\6828.tmp.exe

Stack Trace
#  Address  Module                   Location
-- -------- ------------------------ ----------------------------------------
1  186307E6 (anonymous)            
            85c0                     TEST         EAX, EAX
            7517                     JNZ          0x18630801
            e914ffffff               JMP          0x18630703

2  186308D2 (anonymous)            
3  776E919F kernel32.dll             BaseThreadInitThunk +0xe
4  77C3A22B ntdll.dll                RtlInitializeExceptionChain +0x84
5  77C3A201 ntdll.dll                RtlInitializeExceptionChain +0x5a

Process Trace
1  C:\Program Files (x86)\Internet Explorer\iexplore.exe [9632]
"C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:792 CREDAT:267521 /prefetch:2
2  C:\Program Files\Internet Explorer\iexplore.exe [792]
"C:\Program Files\Internet Explorer\iexplore.exe" -private
3  C:\Windows\explorer.exe [4080]
4  C:\Windows\System32\userinit.exe [9132]
5  C:\Windows\System32\winlogon.exe [7292]
C:\windows\System32\WinLogon.exe -SpecialSession
6  C:\Windows\System32\smss.exe [7936]
\SystemRoot\System32\smss.exe 00000000 00000054 C:\windows\System32\WinLogon.exe -SpecialSession

类别: 下载智能分析
日期和时间,风险,活动,状态,活动
2016/3/1 12:22:12,低,下载智能分析已扫描 6828.tmp.exe,允许访问,已执行的威胁操作: 0
2016/3/1 11:03:00,低,下载智能分析已扫描 E1A1.tmp.exe,允许访问,已执行的威胁操作: 0
2016/3/1 10:15:45,低,下载智能分析已扫描 9B43.tmp.exe,允许访问,已执行的威胁操作: 0

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
白露为霜 + 1 版区有你更精彩: )

查看全部评分

回复

举报

胖福
发表于 2016-3-1 13:18:19 | 显示全部楼层
文件名: 6828.tmp.exe
威胁名称: SONAR.Heuristic.132
完整路径: 不可用

____________________________



详细信息
极少用户信任的文件,  极新的文件,  风险 高





原始
下载自
 未知





活动
已执行的操作: 4



____________________________



在电脑上的创建时间 
2016-3-1 ( 13:16:09 )


上次使用时间 
2016-3-1 ( 13:16:09 )


启动项目 



已启动 



____________________________


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。



____________________________



来源: 外部介质



源文件:
6828.tmp.exe




____________________________

文件操作

文件: f:\norton样本\临时收集\ 6828.tmp.exe 已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\6828.tmp.exe, PID:4044) 未采取操作
事件: PE 文件创建: c:\windows\ vvfccgsegjqu.exe (执行者 f:\norton样本\临时收集\6828.tmp.exe, PID:4044) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 6828.tmp.exe, PID:4044 (执行者 f:\norton样本\临时收集\6828.tmp.exe, PID:4044) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
回复

举报

ymb668888
发表于 2016-3-1 13:22:27 | 显示全部楼层
卡巴云杀,断网双击,主防拦截,并回滚

01.03.2016 13.21.22;恶意程序的操作已回滚;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\6828.tmp.exe;c:\users\administrator\downloads\6828.tmp.exe;03/01/2016 13:21:22
01.03.2016 13.21.22;恶意程序的操作已回滚;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\6828.tmp.exe;c:\sandbox\administrator\defaultbox\drive\c\windows\jsialnvkiqeu.exe;03/01/2016 13:21:22
01.03.2016 13.21.22;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\microsoft\windows\temporary internet files\content.ie5\31a2ddz8\9-220x124[2].jpg;c:\sandbox\administrator\defaultbox\user\current\appdata\local\microsoft\windows\temporary internet files\content.ie5\31a2ddz8\9-220x124[2].jpg;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\jsialnvkiqeu.exe;c:\users\administrator\downloads\6828.tmp.exe;03/01/2016 13:21:22
01.03.2016 13.21.22;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\microsoft\windows\temporary internet files\content.ie5\31a2ddz8\9-220x124[1].jpg;c:\sandbox\administrator\defaultbox\user\current\appdata\local\microsoft\windows\temporary internet files\content.ie5\31a2ddz8\9-220x124[1].jpg;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\jsialnvkiqeu.exe;c:\users\administrator\downloads\6828.tmp.exe;03/01/2016 13:21:22
01.03.2016 13.21.22;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\microsoft\internet explorer\brndlog.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\microsoft\internet explorer\brndlog.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\jsialnvkiqeu.exe;c:\users\administrator\downloads\6828.tmp.exe;03/01/2016 13:21:22
01.03.2016 13.21.22;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\_recovery_+tjooe.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\_recovery_+tjooe.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\jsialnvkiqeu.exe;c:\users\administrator\downloads\6828.tmp.exe;03/01/2016 13:21:22
01.03.2016 13.21.22;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\color\_recovery_+tjooe.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\color\_recovery_+tjooe.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\jsialnvkiqeu.exe;c:\users\administrator\downloads\6828.tmp.exe;03/01/2016 13:21:22
01.03.2016 13.21.22;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\color\profiles\_recovery_+tjooe.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\color\profiles\_recovery_+tjooe.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\jsialnvkiqeu.exe;c:\users\administrator\downloads\6828.tmp.exe;03/01/2016 13:21:22
01.03.2016 13.21.22;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\acrobat\_recovery_+tjooe.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\acrobat\_recovery_+tjooe.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\jsialnvkiqeu.exe;c:\users\administrator\downloads\6828.tmp.exe;03/01/2016 13:21:22
01.03.2016 13.21.22;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\acrobat\11.0\_recovery_+tjooe.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\acrobat\11.0\_recovery_+tjooe.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\jsialnvkiqeu.exe;c:\users\administrator\downloads\6828.tmp.exe;03/01/2016 13:21:22
01.03.2016 13.21.22;回滚恶意程序的操作时文件被恢复;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\acrobat\11.0\cache\_recovery_+tjooe.txt;c:\sandbox\administrator\defaultbox\user\current\appdata\local\adobe\acrobat\11.0\cache\_recovery_+tjooe.txt;C:\Sandbox\Administrator\DefaultBox\drive\C\Windows\jsialnvkiqeu.exe;c:\users\administrator\downloads\6828.tmp.exe;03/01/2016 13:21:22
01.03.2016 13.19.48;恶意程序已删除;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\6828.tmp.exe;c:\users\administrator\downloads\6828.tmp.exe;03/01/2016 13:19:48
01.03.2016 13.19.48;恶意程序已删除;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\6828.tmp.exe;c:\sandbox\administrator\defaultbox\drive\c\windows\jsialnvkiqeu.exe;03/01/2016 13:19:48
01.03.2016 13.19.47;检测到恶意程序;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\6828.tmp.exe;c:\sandbox\administrator\defaultbox\drive\c\windows\jsialnvkiqeu.exe;03/01/2016 13:19:47
01.03.2016 13.19.47;检测到恶意程序;PDM:Trojan.Win32.Generic;C:\Users\Administrator\Downloads\6828.tmp.exe;c:\users\administrator\downloads\6828.tmp.exe;03/01/2016 13:19:47

评分

参与人数 1经验 +3 收起 理由
绯色鎏金 + 3 版区有你更精彩: )

查看全部评分

回复

举报

蓝天二号
发表于 2016-3-1 13:24:01 | 显示全部楼层
ESS

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

820119sly
发表于 2016-3-1 13:28:56 | 显示全部楼层
蓝天二号 发表于 2016-3-1 13:24
ESS

我的eav9下载没拦截解压也没拦截,双击后提示内存有毒并要求重启,重启后清除了,你的怎么直接下载拦截了呢?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

蓝天二号
发表于 2016-3-1 13:33:23 | 显示全部楼层
820119sly 发表于 2016-3-1 13:28
我的eav9下载没拦截解压也没拦截,双击后提示内存有毒并要求重启,重启后清除了,你的怎么直接下载拦截了 ...

报毒名也不一样,,你的是最新病毒库吗?13107
回复

举报

820119sly
发表于 2016-3-1 13:37:01 | 显示全部楼层
蓝天二号 发表于 2016-3-1 13:33
报毒名也不一样,,你的是最新病毒库吗?13107

是106,我升级下再试试,难道这个eav和ess不仅是缺少一个防火墙??
回复

举报

820119sly
发表于 2016-3-1 13:40:06 | 显示全部楼层
蓝天二号 发表于 2016-3-1 13:33
报毒名也不一样,,你的是最新病毒库吗?13107


这回是解压杀的,流量扫描还是没拦截。我更新都是开着的,居然没自动更新啊。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

蓝天二号
发表于 2016-3-1 13:40:10 | 显示全部楼层
820119sly 发表于 2016-3-1 13:37
是106,我升级下再试试,难道这个eav和ess不仅是缺少一个防火墙??

病毒库13:10分更新的107.。
回复

举报

蓝天二号
发表于 2016-3-1 13:41:03 | 显示全部楼层
820119sly 发表于 2016-3-1 13:40
这回是解压杀的,流量扫描还是没拦截。我更新都是开着的,居然没自动更新啊。

9版本的更新有时候确实比较蛋疼。。。
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-15 20:09 , Processed in 0.121043 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表