Detection ratio: 2 / 56 Web Attack: Exploit Toolkit Website 67

显示全部楼层 · 发表于 2016-3-13 16:55:12

SHA256: c1840b81adf0b092373bdfea1445b371a85a66542d204d55c6f139b976a7e5b8
File name: 215C.tmp.exe
Detection ratio: 2 / 56
Analysis date: 2016-03-13 08:51:32 UTC ( 1 minute ago )
https://www.virustotal.com/en/file/c1840b81adf0b092373bdfea1445b371a85a66542d204d55c6f139b976a7e5b8/analysis/1457859092/

Bkav HW32.Packed.E020 20160312
Qihoo-360 HEUR/QVM07.1.Malware.Gen 20160313

2016/3/13 16:33:55,高,阻止了 localhost 的入侵企图,已阻止,不需要操作,,不需要操作,不需要操作,Web Attack: Exploit Toolkit Website 67,"localhost (127.0.0.1, 1080)",ppnmowr.hopto.org/wordpress/?bf7N&utm_source=le,"localhost (127.0.0.1, XXX9)",localhost (127.0.0.1),"TCP, socks"

诺顿防护全开，SSF全开，HMPA关闭，进入挂马网页，IPS拦截，Web Attack: Exploit Toolkit Website 67

关闭诺顿自动防护、IPS，SSF全开，进入挂马网页，SSF拦截木马启动

关闭诺顿IPS，SSF全开，进入挂马网页，下载智能分析、SSF双双拦截木马启动

Web Attack: Exploit Toolkit Website 67：
http://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=27490

显示全部楼层 · 发表于 2016-3-13 17:06:59

大越南杀软Bkav总是这么牛逼

显示全部楼层 · 发表于 2016-3-13 17:21:43

过avg扫描
双击，idp杀

显示全部楼层 · 发表于 2016-3-13 17:29:46

本帖最后由 windows7爱好者于 2016-3-13 17:38 编辑

撸完了，开工

这破木马，我双击了两遍，你就触发了两遍，代码怎么写的

显示全部楼层 · 发表于 2016-3-13 17:36:28

卡巴

显示全部楼层 · 发表于 2016-3-13 18:06:56

本帖最后由 1446547521 于 2016-3-13 18:09 编辑

ESET云拉黑

Suspicious Object

显示全部楼层 · 发表于 2016-3-13 18:30:27

本帖最后由左手于 2016-3-13 18:34 编辑

行为差不多。过不了我的规则。可能太严了。[mw_shl_code=css,true]2016-3-13 18:28:28 创建新进程风险级别:未知允许
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: c:\documents and settings\administrator\桌面\59d3.tmp.exe
命令行: "C:\Documents and Settings\Administrator\桌面\59D3.tmp.exe"
规则: [应用程序]??* -> [子应用程序]*\桌面\*

2016-3-13 18:28:28 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
值: C:\Documents and Settings\Administrator\My Documents
规则: [应用程序]* -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-3-13 18:28:28 读文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: \Device\NamedPipe\{A4A8723A-44EA-465e-A48F-1A700FC991C7}
规则: [文件组]Namedpipe -> [文件]\device\namedpipe\*

2016-3-13 18:28:28 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\CD Burning
值: C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\CD Burning
规则: [应用程序]* -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-3-13 18:28:28 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
值: C:\Documents and Settings\Administrator\桌面
规则: [应用程序]* -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-3-13 18:28:28 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop
值: C:\Documents and Settings\All Users\桌面
规则: [应用程序]* -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-3-13 18:28:28 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
值: C:\Documents and Settings\All Users\Application Data
规则: [应用程序]* -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-3-13 18:28:28 读文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]Namedpipe -> [文件]\device\namedpipe\*

2016-3-13 18:28:30 创建文件风险级别:未知允许
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: C:\WINDOWS\gyfhbrsevjgq.exe
规则: [文件组]拦截_有关文件创建修改组 -> [文件]*; *.exe

2016-3-13 18:28:34 设置文件隐藏属性风险级别:低阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: C:\WINDOWS\gyfhbrsevjgq.exe
规则: [文件组]拦截_有关文件创建修改组 -> [文件]*; *.exe

2016-3-13 18:28:34 读文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: \Device\NamedPipe\{A4A8723A-44EA-465e-A48F-1A700FC991C7}
规则: [文件组]Namedpipe -> [文件]\device\namedpipe\*

2016-3-13 18:28:36 创建新进程风险级别:未知允许
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: c:\windows\gyfhbrsevjgq.exe
命令行: C:\WINDOWS\gyfhbrsevjgq.exe
规则: [应用程序]c:\documents and settings\administrator\桌面\59d3.tmp.exe -> [子应用程序]c:\windows\*.exe

2016-3-13 18:28:36 读文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: \Device\NamedPipe\wkssvc
规则: [文件组]Namedpipe -> [文件]\device\namedpipe\*

2016-3-13 18:28:36 读文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]Namedpipe -> [文件]\device\namedpipe\*

2016-3-13 18:28:36 加载动态链接库风险级别:中阻止
进程: c:\windows\gyfhbrsevjgq.exe
目标: c:\windows\system32\usp10.dll
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [动态链接库]*\usp10.dll

2016-3-13 18:28:36 读文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]Namedpipe -> [文件]\device\namedpipe\*

2016-3-13 18:28:36 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Documents
值: C:\Documents and Settings\All Users\Documents
规则: [应用程序]* -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-3-13 18:28:36 读文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: \Device\NamedPipe\{A4A8723A-44EA-465e-A48F-1A700FC991C7}
规则: [文件组]Namedpipe -> [文件]\device\namedpipe\*

2016-3-13 18:28:36 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; ProxyBypass

2016-3-13 18:28:36 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; IntranetName

2016-3-13 18:28:36 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; UNCAsIntranet

2016-3-13 18:28:36 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; AutoDetect

2016-3-13 18:28:36 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; ProxyBypass

2016-3-13 18:28:36 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; IntranetName

2016-3-13 18:28:36 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; UNCAsIntranet

2016-3-13 18:28:36 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; AutoDetect

2016-3-13 18:28:36 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
规则: [应用程序]* -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-3-13 18:28:36 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [应用程序]* -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-3-13 18:28:36 读文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: \Device\NamedPipe\{A4A8723A-44EA-465e-A48F-1A700FC991C7}
规则: [文件组]Namedpipe -> [文件]\device\namedpipe\*

2016-3-13 18:28:49 创建新进程风险级别:未知允许
进程: c:\documents and settings\administrator\桌面\59d3.tmp.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\WINDOWS\system32\cmd.exe" /c DEL C:\DOCUME~1\ADMINI~1\桌面\59D3TM~1.EXE
规则: [应用程序]c:\documents and settings\administrator\桌面\59d3.tmp.exe -> [子应用程序]c:\windows\*.exe

2016-3-13 18:28:49 读文件夹风险级别:低阻止并结束进程
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面
规则: [应用程序组]→终止_降权组件 -> [文件组]系统加固_全盘加固

2016-3-13 18:29:26 创建新进程风险级别:未知允许
进程: c:\windows\gyfhbrsevjgq.exe
目标: c:\windows\gyfhbrsevjgq.exe
命令行: C:\WINDOWS\gyfhbrsevjgq.exe
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [子应用程序]c:\windows\*

2016-3-13 18:29:26 加载动态链接库风险级别:中阻止
进程: c:\windows\gyfhbrsevjgq.exe
目标: c:\windows\system32\usp10.dll
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [动态链接库]*\usp10.dll

2016-3-13 18:29:27 修改注册表值风险级别:未知阻止
进程: c:\windows\gyfhbrsevjgq.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
值: C:\Documents and Settings\Administrator\My Documents
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-13 18:29:27 修改注册表值风险级别:未知阻止
进程: c:\windows\gyfhbrsevjgq.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\CD Burning
值: C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\CD Burning
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-13 18:29:27 修改注册表值风险级别:未知阻止
进程: c:\windows\gyfhbrsevjgq.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
值: C:\Documents and Settings\Administrator\桌面
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-13 18:29:27 修改注册表值风险级别:未知阻止
进程: c:\windows\gyfhbrsevjgq.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop
值: C:\Documents and Settings\All Users\桌面
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-13 18:29:27 修改注册表值风险级别:未知阻止
进程: c:\windows\gyfhbrsevjgq.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
值: C:\Documents and Settings\All Users\Application Data
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-13 18:29:28 修改注册表值风险级别:未知阻止
进程: c:\windows\gyfhbrsevjgq.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\aroinics_svc
值: C:\WINDOWS\SYSTEM32\CMD.EXE /C START C:\WINDOWS\gyfhbrsevjgq.exe
规则: [应用程序组]→S+_SystemRoot -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2016-3-13 18:29:28 修改注册表值风险级别:未知阻止
进程: c:\windows\gyfhbrsevjgq.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLinkedConnections
值: 0x00000001(1)
规则: [应用程序组]→S+_SystemRoot -> [注册表组]拦截_HEUR.Win32.Malware Regs -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\*

2016-3-13 18:29:28 修改文件风险级别:未知阻止
进程: c:\windows\gyfhbrsevjgq.exe
目标: C:\WINDOWS\system32\config\software.LOG
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_自启动目录

2016-3-13 18:29:28 创建文件风险级别:未知阻止
进程: c:\windows\gyfhbrsevjgq.exe
目标: C:\Documents and Settings\Administrator\My Documents\recover_file_vybdxqvbo.txt
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_禁止创建文件的目录{SystemDrive}

2016-3-13 18:29:28 创建文件风险级别:未知阻止
进程: c:\windows\gyfhbrsevjgq.exe
目标: C:\$AVG\$VAULT\_ReCoVeRy_+twlmj.png
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_禁止创建文件的目录{SystemDrive}

2016-3-13 18:29:28 创建文件风险级别:未知阻止
进程: c:\windows\gyfhbrsevjgq.exe
目标: C:\$AVG\$VAULT\_ReCoVeRy_+twlmj.txt
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_禁止创建文件的目录{SystemDrive}

2016-3-13 18:29:28 创建文件风险级别:未知阻止
进程: c:\windows\gyfhbrsevjgq.exe
目标: C:\$AVG\$VAULT\_ReCoVeRy_+twlmj.html
规则: [应用程序组]→S+_SystemRoot -> [文件组]木马防御[2]_Htm

2016-3-13 18:29:28 创建文件风险级别:未知阻止
进程: c:\windows\gyfhbrsevjgq.exe
目标: C:\$AVG\_ReCoVeRy_+twlmj.png
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_禁止创建文件的目录{SystemDrive}

2016-3-13 18:29:28 创建文件风险级别:未知阻止
进程: c:\windows\gyfhbrsevjgq.exe
目标: C:\$AVG\_ReCoVeRy_+twlmj.txt
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_禁止创建文件的目录{SystemDrive}

2016-3-13 18:29:28 创建文件风险级别:未知阻止
进程: c:\windows\gyfhbrsevjgq.exe
目标: C:\$AVG\_ReCoVeRy_+twlmj.html
规则: [应用程序组]→S+_SystemRoot -> [文件组]木马防御[2]_Htm

2016-3-13 18:29:28 读文件夹风险级别:低阻止并结束进程
进程: c:\windows\gyfhbrsevjgq.exe
目标: C:\a
规则: [应用程序组]→S+_SystemRoot -> [文件组]终止_高优先 -> [文件]?:\; ?
[/mw_shl_code]

显示全部楼层 · 发表于 2016-3-13 18:50:49

显示全部楼层 · 发表于 2016-3-13 19:13:52

sep

显示全部楼层 · 发表于 2016-3-13 19:15:15

本帖最后由 saga3721 于 2016-3-14 04:06 编辑

红伞杀'TR/Crypt.Xpack.427694 [trojan]' ×2

[可疑文件] Detection ratio: 2 / 56 Web Attack: Exploit Toolkit Website 67

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

浏览过的版块