File name: 53D1.tmp.exe Detection ratio: 2 / 56 Angler Exploit Kit Website 6

墨家小子

SHA256:        453f6a18e44faf1773cf6bcf04157193d910863f2bc7d62e138257e770f8207d
File name:        53D1.tmp.exe
Detection ratio:        2 / 56
Analysis date:        2016-03-10 01:55:18 UTC ( 1 minute ago )
https://www.virustotal.com/en/file/453f6a18e44faf1773cf6bcf04157193d910863f2bc7d62e138257e770f8207d/analysis/1457574918/

Baidu        Win32.Trojan.WisdomEyes.151026.9950.9972        20160225
McAfee-GW-Edition        BehavesLike.Win32.Backdoor.gh        20160309

吓死爹了，还以为IPS坏了挂了呢，今天逛网一韩国网站挂马，Angler Exploit Kit Website 6，IPS总算拦截了~~不然少了一道防护，另外，百度继续刷新我的三观
2016/3/10 9:40:44,高,阻止了 localhost 的入侵企图,已阻止,不需要操作,,不需要操作,不需要操作,Web Attack: Angler Exploit Kit Website 6,"localhost (127.0.0.1, 4XXX1)",swarthnessficklehe.gnhotels.co/topic/29096-deactivates-jets-scattered-banning-heaped-radian-roadmap-termination/,"localhost (127.0.0.1, XX40)",localhost (127.0.0.1),"TCP, 端口 4XXX1",,,

猥琐大叔

AVG双击删除

wuyehuijin

双击也杀了

文件名: 53d1.tmp.exe
威胁名称: SONAR.Heuristic.120完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间?
2016/3/10 ( 10:48:41 )

上次使用时间?
2016/3/10 ( 10:48:41 )

启动项目?
否

已启动?
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


53d1.tmp.exe 威胁名称: SONAR.Heuristic.120
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
360zip.exe

创建的文件:
53d1.tmp.exe

____________________________

文件操作

文件: c:\users\m\desktop\53d1.tmp\ 53d1.tmp.exe 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\m\desktop\53d1.tmp\53d1.tmp.exe, PID:1308) 未采取操作
事件: PE 文件创建: c:\users\m\documents\ hbgpkejpyymu.exe (执行者 c:\users\m\desktop\53d1.tmp\53d1.tmp.exe, PID:1308) 未采取操作
事件: 进程启动: c:\users\m\desktop\53d1.tmp\ 53d1.tmp.exe, PID:1308 (执行者 c:\users\m\desktop\53d1.tmp\53d1.tmp.exe, PID:1308) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

a445441

微点拦截

MXCERILYF!

卡巴

3801187

杀软神马

AVA 25.5819
GD 25.6499

*** 进程 ***

进程: 6148
文件名: 53d1.tmp.exe
路径: c:\users\nnnnnnnnnnnnhjh5y -0\desktop\53d1.tmp.exe

发行商：: 未知发行商
创建日期: 03/10/16 04:06:38
修改日期: 03/10/16 01:47:29

启动进程：: explorer.exe
发行商：: Microsoft Windows


*** 操作 ***

程序文件被误导性命名以欺骗用户（例如：Image.jpg.exe）
程序已将文件保存在系统文件夹。
程序已创建或已操作可执行文件。
程序进行了自我复制。
该程序试图删除其自身的程序文件。
程序已复制自身到Windows文件夹。
程序在Windows文件夹已创建或已操作一个可执行文件。


*** 隔离区 ***

下列文件被转入隔离区：
C:\Users\nnnnnnnnnnnnhjh5y -0\Desktop\53D1.tmp.exe
c:\windows\sxemjjjgwjuf.exe

下列注册表项被删除：


YGLhvnIMLScnJycmBi4nl3JyKSYGh3KCcoJiYnAqdIJCJygmBrdygnKCYmKQKxbuKw1qcnJycmJiwC4nJycnJgb8cnJycmJi8CgnJycnJgbPcnJycmJicGZycnJyYmJwl3JycnJiYnC4cnJycmJicLqi4VdjtnKi4VdjtnJiYnCLcnJycmJicKtygnCOcoJwnnLicuJiYgAA
规则版本： 5.0.87
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
DLL版本： 55982

"C:\Users\nnnnnnnnnnnnhjh5y -0\Desktop\53D1.tmp.exe"
MD5: 0C616295D080400D78447CC8625C7B71
C:\Windows\Explorer.EXE
MD5:

柯林

还是加密勒索类的，自动沙盘日志看，不知道是行为有点小变化，还是随机行为，日志显示，第一次运行，调用cmd.exe，然后那个WMIC.exe不知道是调用还是插入，释放tbbyjmtijkss.exe到Window目录下，然后样本自杀，想找那个tbbyjmtijkss.exe来看看，文件夹和文件已经被病毒删掉了，后面的跟以前一样，释放主要的东东*\Documents\ugarhvokmcsr.exe，这个东东拼命访问C:\Windows\System32\taskhost.exe 的内存

vm001

善良↗小青年

卡巴2011 右键扫描MISS,双击云杀