Detection ratio: 5 / 56 Web Attack: Angler Exploit Kit Website 6 挂马

墨家小子

SHA256:        6b44103c66c63ad584e47b6b31993bd76b98130ca0c1093d73ec3f3b9ae0df51
File name:        5210.tmp.exe
Detection ratio:        5 / 56
Analysis date:        2016-03-15 09:48:35 UTC ( 5 minutes ago )
https://www.virustotal.com/en/file/6b44103c66c63ad584e47b6b31993bd76b98130ca0c1093d73ec3f3b9ae0df51/analysis/1458035315/

Avast        Win32:Malware-gen        20160315
Bkav        HW32.Packed.5A81        20160312
Kaspersky        HEUR:Trojan.Win32.Generic        20160315
McAfee        Ransomware-FGN!AD92B8D43005        20160315
Qihoo-360        HEUR/QVM07.1.0000.Malware.Gen        20160315

诺顿防护全开，进入挂马网页，IPS拦截：
2016/3/15 17:32:53,高,阻止了 localhost 的入侵企图,已阻止,不需要操作,,不需要操作,不需要操作,Web Attack: Angler Exploit Kit Website 6,"localhost (127.0.0.1, 4XXX7)",zoo.chiropracticexpo.org/topic/13248-venturing-lovesick-roundness-conferences-infiltration-steeping-lynchpin/,"localhost (127.0.0.1, XXX6)",localhost (127.0.0.1),"TCP, 端口 4XXX7"


关闭IPS，开启自动防护，进入挂马网页，木马进入本地，下载智能分析启发杀（拉黑？）
2016/3/15 17:38:23,信息,统计提交: Suspicious.Cloud.7.EP (Presence),挂起,不需要操作,2016/3/15 17:38:23,Norton Internet Security,统计提交: Suspicious.Cloud.7.EP (Presence),CSIDL_PROFILE\appdata\local\temp\low\5210.tmp.exe,
2016/3/15 17:37:51,信息,样本提交: Suspicious.Cloud.7.EP,挂起,不需要操作,2016/3/15 17:37:51,Norton Internet Security,样本提交: Suspicious.Cloud.7.EP,CSIDL_PROFILE\appdata\local\temp\low\5210.tmp.exe,
2016/3/15 17:37:51,信息,统计提交: Suspicious.Cloud.7.EP,挂起,不需要操作,2016/3/15 17:37:51,Norton Internet Security,统计提交: Suspicious.Cloud.7.EP,"CSIDL_PROFILE\appdata\local\temp\low\5210.tmp.exeDetection Digest:  ……

saga3721

红伞云查杀'TR/Crypt.XPACK.Gen2 (Cloud)' [trojan]

aboringman

AVG：

扫描：miss；

双击：实机双击，IDP击杀之。（【又现ALEXA】断网情况下的较量）

"";"IDP.ALEXA.51, C:\USERS\KILLER\DESKTOP\5210.TMP.EXE";"Deleted";"File or Directory";"2016/3/15, 18:44:03"

"";", C:\USERS\KILLER\DESKTOP\5210.TMP.EXE";"Object was blocked";"Process";"2016/3/15, 18:44:03"

"";", C:\Users\killer\Documents\oqamsa.exe";"Object was blocked";"Process";"2016/3/15, 18:44:03"

"";", C:\Windows\System32\cmd.exe";"Object was blocked";"Process";"2016/3/15, 18:44:03"

"";", C:\Users\killer\Documents\oqamsa.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/3/15, 18:44:03"

"";", C:\USERS\KILLER\DESKTOP\5210.TMP.EXE";"Object was blocked";"Process";"2016/3/15, 18:44:03"

继续上证据：



顺便来带话，有种拿出IDP是拉黑主防的证据，否则别在后面放冷箭黑这个黑那个，要不是有规则约束，我可是绝对不会放过你，不服来辩！

@墨家小子 出来跟我辩啊，背后放冷箭算什么本事，实话告诉你，老子受够了！

ericdj

GD主防拦截

3801187

胖福

文件名: 5210.tmp.exe
威胁名称: SONAR.SelfHijack!gen1
完整路径: 不可用

____________________________



详细信息
极少用户信任的文件,  极新的文件,  风险 高





原始
下载自
 未知





活动
已执行的操作: 5



____________________________



在电脑上的创建时间 
2016-3-16 ( 08:02:07 )


上次使用时间 
2016-3-16 ( 08:02:07 )


启动项目 
否


已启动 
是


____________________________


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。



____________________________



来源: 外部介质



源文件:
5210.tmp.exe




____________________________

文件操作

文件: f:\norton样本\临时收集\ 5210.tmp.exe 已删除
事件: 正在运行进程: f:\norton样本\临时收集\ 5210.tmp.exe 已终止
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\5210.tmp.exe, PID:5220) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 5210.tmp.exe, PID:4652 (执行者 f:\norton样本\临时收集\5210.tmp.exe, PID:5220) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 5210.tmp.exe, PID:5220 (执行者 f:\norton样本\临时收集\5210.tmp.exe, PID:5220) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用