Detection ratio: 3 / 54 加密勒索挂马 Vs 诺顿多重防御之下载智能分析

墨家小子

SHA256:        9d2467fdeb76c48ca8dc13be7f50db4bdc9958eedd3fe9b1709712fe45082b9d
File name:        B0F6.tmp.exe
Detection ratio:        3 / 54
Analysis date:        2016-03-05 09:37:46 UTC ( 0 minutes ago )
https://www.virustotal.com/en/file/9d2467fdeb76c48ca8dc13be7f50db4bdc9958eedd3fe9b1709712fe45082b9d/analysis/

Qihoo-360        HEUR/QVM41.2.Malware.Gen        20160305
Rising        PE:Trojan.Kryptik!1.A32E [F]        20160305
TrendMicro-HouseCall        Ransom_CRYPTESLA.SMA6        20160305




诺顿多重防御之下载智能分析测试：

关闭IPS，关闭自动防护，开启下载智能分析（默认设置，不是装逼的最高设置），进入挂马网页，下载智能分析与SSF分别弹窗拦截：


下载智能分析提供的日志截图，可以看到该陌生程序是由IE创建，呵呵，我读书少，想骗我？



定位该陌生程序位置的时候，下载智能分析与SSF再次弹窗提示有陌生程序要运行：



多重防御怎么少得了IPS呢？声纳的测试就留给楼下的兄弟们双击吧，毕竟双击是很危险的~此处听到有很多的呵呵~~~
2016/3/5 17:28:58,高,阻止了 localhost 的入侵企图,已阻止,不需要操作,,不需要操作,不需要操作,Web Attack: Angler Exploit Kit Website 6,"localhost (127.0.0.1, 3XXX2)",whitebosomedharmonicon.nixons.online/board/view.php?id=03c8&course=x37an893v7r6349,"localhost (127.0.0.1, XXX1)",localhost (127.0.0.1),"TCP, 端口 3XXX2"

qftest

修改
貌似懂了

墨家小子

qftest 发表于 2016-3-5 17:58
QVM怎么不报7.1了

别吹毛求疵的好不好，能杀就行，数字可以随便加的，只要不是QVM250就行了

vm001

今天我这里360没抽

qftest

墨家小子 发表于 2016-3-5 18:01
别吹毛求疵的好不好，能杀就行，数字可以随便加的，只要不是QVM250就行了

恩恩我错了，数字的分类搞不太懂，并非一定是07.1

墨家小子

vm001 发表于 2016-3-5 18:02
今天我这里360没抽

运行一下，看看是不是加密的？

墨家小子

qftest 发表于 2016-3-5 18:04
恩恩我错了，数字的分类搞不太懂，并非一定是07.1

快没电了，我去泡个妞

MXCERILYF!

BD双击

vm001

墨家小子 发表于 2016-3-5 18:07
运行一下，看看是不是加密的？

没虚拟机

icedream89

- -刚回家，累 不双击~~~