Detection ratio: 1 / 55 Web Attack: Mass Injection Website 19 加密勒索挂马

显示全部楼层 · 发表于 2016-3-3 14:47:20

本帖最后由 ericdj 于 2016-3-3 14:49 编辑

pal家族发表于 2016-3-3 14:10
楼上让我见识了新的主防测&#35 ...

我其实很好奇，那个病毒怎么没有添加反虚拟机发沙箱这类的功能啊

忙活了半天，结果还是可以恢复的

显示全部楼层 · 发表于 2016-3-3 14:48:44

GD，主防干掉

显示全部楼层 · 发表于 2016-3-3 16:00:09

红伞杀'TR/Crypt.Xpack.419395 [trojan]'

显示全部楼层 · 发表于 2016-3-3 18:21:45

ESS 入库了。
BD ATC

显示全部楼层 · 发表于 2016-3-3 18:33:12

本帖最后由左手于 2016-3-3 21:31 编辑

[mw_shl_code=css,true]2016-3-3 18:31:08 创建新进程风险级别:未知允许
进程: c:\documents and settings\administrator\桌面\27e1.tmp.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\WINDOWS\system32\cmd.exe" /c DEL C:\DOCUME~1\ADMINI~1\桌面\27E1TM~1.EXE
规则: [应用程序]c:\documents and settings\administrator\桌面\27e1.tmp.exe -> [子应用程序]c:\windows\*.exe

2016-3-3 18:31:08 读文件夹风险级别:低阻止并结束进程
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面
规则: [应用程序组]→终止_降权组件 -> [文件组]系统加固_全盘加固

2016-3-3 18:31:10 向其他进程发送消息风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: c:\windows\explorer.exe
消息: 0x003A
规则: [应用程序组]→S+_SystemRoot

2016-3-3 18:31:53 创建新进程风险级别:未知允许
进程: c:\windows\klprcnomefcn.exe
目标: c:\windows\klprcnomefcn.exe
命令行: C:\WINDOWS\klprcnomefcn.exe
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [子应用程序]c:\windows\*

2016-3-3 18:31:53 加载动态链接库风险级别:中阻止
进程: c:\windows\klprcnomefcn.exe
目标: c:\windows\system32\usp10.dll
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [动态链接库]*\usp10.dll

2016-3-3 18:31:54 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
值: C:\Documents and Settings\Administrator\My Documents
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 18:31:54 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\CD Burning
值: C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\CD Burning
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 18:31:54 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
值: C:\Documents and Settings\Administrator\桌面
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 18:31:54 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop
值: C:\Documents and Settings\All Users\桌面
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 18:31:54 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
值: C:\Documents and Settings\All Users\Application Data
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 18:31:54 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\xmnvqyx
值: C:\WINDOWS\system32\CMD.EXE /c start C:\WINDOWS\klprcnomefcn.exe
规则: [应用程序组]→S+_SystemRoot -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2016-3-3 18:31:54 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLinkedConnections
值: 0x00000001(1)
规则: [应用程序组]→S+_SystemRoot -> [注册表组]拦截_HEUR.Win32.Malware Regs -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\*

2016-3-3 18:31:54 修改文件风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: C:\WINDOWS\system32\config\software.LOG
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_自启动目录

2016-3-3 18:31:55 创建文件风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: C:\Documents and Settings\Administrator\My Documents\recover_file_hmusovjyr.txt
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_禁止创建文件的目录{SystemDrive}

2016-3-3 18:31:55 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 18:31:55 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 18:31:55 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
值: C:\Documents and Settings\Administrator\Local Settings\History
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 18:31:55 创建文件风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: C:\$AVG\$CHJW\_ReCoVeRy_+cwqbb.png
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_禁止创建文件的目录{SystemDrive}

2016-3-3 18:31:55 创建文件风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: C:\$AVG\$CHJW\_ReCoVeRy_+cwqbb.txt
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_禁止创建文件的目录{SystemDrive}

2016-3-3 18:31:55 创建文件风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: C:\$AVG\$CHJW\_ReCoVeRy_+cwqbb.html
规则: [应用程序组]→S+_SystemRoot -> [文件组]木马防御[2]_Htm

2016-3-3 18:31:55 创建文件风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: C:\$AVG\$VAULT\_ReCoVeRy_+cwqbb.png
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_禁止创建文件的目录{SystemDrive}

2016-3-3 18:31:55 创建文件风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: C:\$AVG\$VAULT\_ReCoVeRy_+cwqbb.txt
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_禁止创建文件的目录{SystemDrive}

2016-3-3 18:31:55 创建文件风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: C:\$AVG\$VAULT\_ReCoVeRy_+cwqbb.html
规则: [应用程序组]→S+_SystemRoot -> [文件组]木马防御[2]_Htm

2016-3-3 18:31:55 创建文件风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: C:\$AVG\_ReCoVeRy_+cwqbb.png
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_禁止创建文件的目录{SystemDrive}

2016-3-3 18:31:55 创建文件风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: C:\$AVG\_ReCoVeRy_+cwqbb.txt
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_禁止创建文件的目录{SystemDrive}

2016-3-3 18:31:55 创建文件风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: C:\$AVG\_ReCoVeRy_+cwqbb.html
规则: [应用程序组]→S+_SystemRoot -> [文件组]木马防御[2]_Htm

2016-3-3 18:31:55 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\Administrator\Application Data
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 18:31:55 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 18:31:55 删除注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 18:31:55 删除注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 18:31:55 删除注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
规则: [应用程序组]→S+_SystemRoot -> [注册表组]拦截_HEUR.Win32.Malware Regs -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2016-3-3 18:31:55 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
值: 46 00 00 00 03 0e 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 00 00 00 00 00 00 00 90 3e 8e 41 72 62 d1 01 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 02 00 00 00 c0 a8 01 1f 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
规则: [应用程序组]→S+_SystemRoot -> [注册表组]拦截_HEUR.Win32.Malware Regs -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2016-3-3 18:31:55 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [应用程序组]→S+_SystemRoot -> [注册表组]拦截_HEUR.Win32.Malware Regs -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2016-3-3 18:31:55 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [应用程序组]→S+_SystemRoot -> [注册表组]拦截_HEUR.Win32.Malware Regs -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2016-3-3 18:31:55 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [应用程序组]→S+_SystemRoot -> [注册表组]拦截_HEUR.Win32.Malware Regs -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2016-3-3 18:31:55 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [应用程序组]→S+_SystemRoot -> [注册表组]拦截_HEUR.Win32.Malware Regs -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2016-3-3 18:31:55 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [应用程序组]→S+_SystemRoot -> [注册表组]拦截_HEUR.Win32.Malware Regs -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2016-3-3 18:31:55 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [应用程序组]→S+_SystemRoot -> [注册表组]拦截_HEUR.Win32.Malware Regs -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2016-3-3 18:31:55 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 18:31:55 删除注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 18:31:55 删除注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 18:31:55 删除注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
规则: [应用程序组]→S+_SystemRoot -> [注册表组]拦截_HEUR.Win32.Malware Regs -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2016-3-3 18:31:55 修改注册表值风险级别:未知阻止
进程: c:\windows\klprcnomefcn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
值: 46 00 00 00 03 0e 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 00 00 00 00 00 00 00 90 3e 8e 41 72 62 d1 01 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 02 00 00 00 c0 a8 01 1f 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
规则: [应用程序组]→S+_SystemRoot -> [注册表组]拦截_HEUR.Win32.Malware Regs -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2016-3-3 18:31:55 读文件夹风险级别:低阻止并结束进程
进程: c:\windows\klprcnomefcn.exe
目标: C:\a
规则: [应用程序组]→S+_SystemRoot -> [文件组]终止_高优先 -> [文件]?:\; ?
[/mw_shl_code]

显示全部楼层 · 发表于 2016-3-3 19:19:44

Windows Defender 4.8攔截並清除所有衍生物 AVG被過 IDP報毒

显示全部楼层 · 发表于 2016-3-3 20:45:48

我能说我是第一次见这货，有反应吗

显示全部楼层 · 发表于 2016-3-3 21:10:03

左手发表于 2016-3-3 18:33
2016-3-3 18:31:08 创建新进程风险级别:未知允许
进程: c:\documents and settings\administrator ...

过长日志建议使用代码框，

显示全部楼层 · 发表于 2016-3-3 21:32:31

绯色鎏金发表于 2016-3-3 21:10
过长日志建议使用代码框，

OK,用代码框了。

显示全部楼层 · 发表于 2016-3-3 21:38:48

毋庸置疑，测试主防的好方法。

[可疑文件] Detection ratio: 1 / 55 Web Attack: Mass Injection Website 19 加密勒索挂马

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分