2016-06-20 - EK data dump (Neutrino EK, Rig EK, Sundown EK)

显示全部楼层 · 发表于 2016-6-21 11:57:43

http://www.malware-traffic-analysis.net/2016/06/20/index.html

显示全部楼层 · 发表于 2016-6-21 12:11:32

文件名: Trojan.Swifi
完整路径: 不可用

____________________________

____________________________

在电脑上
不可用

上次使用时间
2016/6/21 ( 12:05:11 )

启动项
否

已启动
否

威胁类型: 病毒。将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________

Trojan.Swifi
定位

未知
诺顿社区中使用了此文件的用户数未知。

未知
此文件版本当前未知。

高
此文件具有高风险。

____________________________

来源: 外部介质

____________________________

文件操作

文件: c:\users\administrator\desktop\ 2016-06-20-sundown-ek-flash-exploit.swf 未尝试修复
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
文件名: 2016-06-20-pseudodarkleech-neutrino-ek-payload-cryptxxx.dll
威胁名称: WS.Reputation.1完整路径: c:\users\administrator\desktop\2016-06-20-pseudodarkleech-neutrino-ek-payload-cryptxxx.dll

____________________________

____________________________

在电脑上
2016/6/21 ( 12:03:34 )

上次使用时间
2016/6/21 ( 12:04:54 )

启动项
否

已启动
否

威胁类型: 智能网络威胁。很多迹象表明此文件不可信任，不安全

____________________________

2016-06-20-pseudodarkleech-neutrino-ek-payload-cryptxxx.dll 威胁名称: WS.Reputation.1
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

中
此文件具有中等程度风险。

____________________________

https://att.kafan.cn/forum.php?mo ... Dk2Mjc2fDIwNDU1MDk=
已下载文件从 att.kafan.cn
来源: 外部介质

winrar.exe

创建的文件:
2016-06-20-pseudodarkleech-neutrino-ek-payload-cryptxxx.dll

____________________________

文件操作

文件: c:\users\administrator\desktop\ 2016-06-20-pseudodarkleech-neutrino-ek-payload-cryptxxx.dll 已删除
____________________________

文件指纹 - SHA:
955af93b03ba4d4e468c15680df9865250c2676bed7b6cf719a4ef1bff000bcb
文件指纹 - MD5:
不可用
文件名: 2016-06-20-eitest-neutrino-ek-payload-cryptxxx.dll
威胁名称: WS.Reputation.1完整路径: c:\users\administrator\desktop\2016-06-20-eitest-neutrino-ek-payload-cryptxxx.dll

____________________________

____________________________

在电脑上
2016/6/21 ( 12:03:30 )

上次使用时间
2016/6/21 ( 12:04:39 )

启动项
否

已启动
否

威胁类型: 智能网络威胁。很多迹象表明此文件不可信任，不安全

____________________________

2016-06-20-eitest-neutrino-ek-payload-cryptxxx.dll 威胁名称: WS.Reputation.1
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

中
此文件具有中等程度风险。

____________________________

https://att.kafan.cn/forum.php?mo ... Dk2Mjc2fDIwNDU1MDk=
已下载文件从 att.kafan.cn
来源: 外部介质

winrar.exe

创建的文件:
2016-06-20-eitest-neutrino-ek-payload-cryptxxx.dll

____________________________

文件操作

文件: c:\users\administrator\desktop\ 2016-06-20-eitest-neutrino-ek-payload-cryptxxx.dll 已删除
____________________________

文件指纹 - SHA:
644e702ec59da8835ba6cc03e59630a88ad532b649ccfd89ed745ce756c8e095
文件指纹 - MD5:
不可用
文件名: 2016-06-20-afraidgate-neutrino-ek-payload-cryptxxx.dll
威胁名称: WS.Reputation.1完整路径: c:\users\administrator\desktop\2016-06-20-afraidgate-neutrino-ek-payload-cryptxxx.dll

____________________________

____________________________

在电脑上
2016/6/21 ( 12:03:28 )

上次使用时间
2016/6/21 ( 12:04:34 )

启动项
否

已启动
否

威胁类型: 智能网络威胁。很多迹象表明此文件不可信任，不安全

____________________________

2016-06-20-afraidgate-neutrino-ek-payload-cryptxxx.dll 威胁名称: WS.Reputation.1
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

中
此文件具有中等程度风险。

____________________________

https://att.kafan.cn/forum.php?mo ... Dk2Mjc2fDIwNDU1MDk=
已下载文件从 att.kafan.cn
来源: 外部介质

winrar.exe

创建的文件:
2016-06-20-afraidgate-neutrino-ek-payload-cryptxxx.dll

____________________________

文件操作

文件: c:\users\administrator\desktop\ 2016-06-20-afraidgate-neutrino-ek-payload-cryptxxx.dll 已删除
____________________________

文件指纹 - SHA:
0359cf6d54cfe0a4e770b4c534cdaefc9619e527d6e3860e51556390c79753a6
文件指纹 - MD5:
不可用
文件名: 2016-06-20-rig-ek-payload-after-chipdating.link.exe
威胁名称: Trojan.Smoaler完整路径: c:\users\administrator\desktop\2016-06-20-rig-ek-payload-after-chipdating.link.exe

____________________________

____________________________

在电脑上
2016/6/21 ( 12:02:23 )

上次使用时间
2016/6/21 ( 12:04:24 )

启动项
否

已启动
否

威胁类型: 病毒。将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________

2016-06-20-rig-ek-payload-after-chipdating.link.exe 威胁名称: Trojan.Smoaler
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
2016-06-20-rig-ek-payload-after-chipdating.link.exe

____________________________

文件操作

文件: c:\users\administrator\desktop\ 2016-06-20-rig-ek-payload-after-chipdating.link.exe 已删除
____________________________

文件指纹 - SHA:
5001fbc0a26fd284a179246743e47e3383ca11b91aed606b5af8f0968e9b72a0
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-6-21 12:51:27

MSE
binaryreader.dll Infected: Trojan:Win32/Dynamer!ac

显示全部楼层 · 发表于 2016-6-21 12:58:29

文件名: 2016-06-20-rig-ek-payload-after-monavocatparis.fr.exe
威胁名称: SONAR.Heuristic.142完整路径: 不可用

____________________________

____________________________

在电脑上
2016/6/21 ( 12:03:41 )

上次使用时间
2016/6/21 ( 12:03:41 )

启动项
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

2016-06-20-rig-ek-payload-after-monavocatparis.fr.exe 威胁名称: SONAR.Heuristic.142
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
winrar.exe

创建的文件:
2016-06-20-rig-ek-payload-after-monavocatparis.fr.exe

____________________________

文件操作

文件: c:\users\administrator\desktop\ 2016-06-20-rig-ek-payload-after-monavocatparis.fr.exe 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\SANDBOX_ADMINISTRATOR_DEFAULTBOX\user\current_classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache->C:\Users\Administrator\Desktop\ 2016-06-20-Rig-EK-payload-after-monavocatparis.fr.exe.FriendlyAppName 不需要操作
注册表更改: HKEY_USERS\SANDBOX_ADMINISTRATOR_DEFAULTBOX\user\current_classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache->C:\Users\Administrator\Desktop\ 2016-06-20-Rig-EK-payload-after-monavocatparis.fr.exe.ApplicationCompany 不需要操作
____________________________

系统设置操作

事件: 浏览器进程启动 (执行者 c:\users\administrator\desktop\2016-06-20-rig-ek-payload-after-monavocatparis.fr.exe, PID:5348) 未采取操作
事件: PE 文件创建: c:\sandbox\administrator\defaultbox\user\current\ rraaozmm.exe (执行者 c:\users\administrator\desktop\2016-06-20-rig-ek-payload-after-monavocatparis.fr.exe, PID:5348) 未采取操作
事件: 进程启动: c:\users\administrator\desktop\ 2016-06-20-rig-ek-payload-after-monavocatparis.fr.exe, PID:5348 (执行者 c:\users\administrator\desktop\2016-06-20-rig-ek-payload-after-monavocatparis.fr.exe, PID:5348) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-6-21 13:05:39

Avira

[mw_shl_code=css,true]Starting the file scan:

Begin scan in 'C:\Users\User\Desktop\2016-06-20-EK-data-dump-malware-and-artifacts.part1'
C:\Users\User\Desktop\2016-06-20-EK-data-dump-malware-and-artifacts.part1\2016-06-20-Afraidgate-Neutrino-EK-payload-CryptXXX.dll
  [DETECTION] Is the TR/ATRAPS.vmis Trojan
C:\Users\User\Desktop\2016-06-20-EK-data-dump-malware-and-artifacts.part1\2016-06-20-EITest-Neutrino-EK-payload-CryptXXX.dll
  [DETECTION] Is the TR/ATRAPS.rswx Trojan
C:\Users\User\Desktop\2016-06-20-EK-data-dump-malware-and-artifacts.part1\2016-06-20-pseudoDarkleech-Neutrino-EK-payload-CryptXXX.dll
  [DETECTION] Is the TR/ATRAPS.ksgy Trojan
C:\Users\User\Desktop\2016-06-20-EK-data-dump-malware-and-artifacts.part1\2016-06-20-Rig-EK-payload-after-chipdating.link.exe
  [DETECTION] Is the TR/Crypt.ZPACK.vqbh Trojan
C:\Users\User\Desktop\2016-06-20-EK-data-dump-malware-and-artifacts.part1\2016-06-20-Rig-EK-payload-after-monavocatparis.fr.exe
  [DETECTION] Is the TR/Dropper.VB.nojb Trojan
C:\Users\User\Desktop\2016-06-20-EK-data-dump-malware-and-artifacts.part1\2016-06-20-Sundown-EK-flash-exploit.swf
  [DETECTION] Contains the SWF/ExKit.34436 SWF virus
C:\Users\User\Desktop\2016-06-20-EK-data-dump-malware-and-artifacts.part1\2016-06-20-Sundown-EK-payload.exe
  [DETECTION] Is the TR/Dropper.VB.zhaa Trojan
C:\Users\User\Desktop\2016-06-20-EK-data-dump-malware-and-artifacts.part1\2016-06-20-Sundown-EK-silverlight-exploit.zip
[0] Archive type: ZIP
--> binaryreader.dll
      [DETECTION] Is the TR/Agent.epys Trojan
      [WARNING] Infected files in archives cannot be repaired[/mw_shl_code]

显示全部楼层 · 发表于 2016-6-21 13:36:55

显示全部楼层 · 发表于 2016-6-21 14:30:50

入库了一些

[mw_shl_code=css,true]Analysis performed in full: 2016-06-21 2:28:56 AM
14 files checked
7 infected files detected
0 suspicious files found

Object: 2016-06-20-Sundown-EK-flash-exploit.swf
Path: D:\Virus\2016-06-20-EK-data-dump-malware-and-artifacts
Status: File moved to quarantine
Virus: Script.SWF.C329 (Engine A)

Archive: 2016-06-20-Sundown-EK-silverlight-exploit.zip
Path: D:\Virus\2016-06-20-EK-data-dump-malware-and-artifacts
Status: Virus, file deleted
Virus: Trojan.GenericKD.3275378 (Engine A)
Object: binaryreader.dll
In archive: D:\Virus\2016-06-20-EK-data-dump-malware-and-artifacts\2016-06-20-Sundown-EK-silverlight-exploit.zip
Status: Virus detected
Virus: Trojan.GenericKD.3275378

Object: 2016-06-20-Sundown-EK-payload.exe
Path: D:\Virus\2016-06-20-EK-data-dump-malware-and-artifacts
Status: Virus removed
Virus: Trojan.GenericKD.3325881 (Engine A)

Object: 2016-06-20-Rig-EK-payload-after-monavocatparis.fr.exe
Path: D:\Virus\2016-06-20-EK-data-dump-malware-and-artifacts
Status: Virus removed
Virus: Trojan.Generic.17301425 (Engine A)

Object: 2016-06-20-pseudoDarkleech-Neutrino-EK-payload-CryptXXX.dll
Path: D:\Virus\2016-06-20-EK-data-dump-malware-and-artifacts
Status: Virus removed
Virus: Trojan.GenericKD.3331280 (Engine A)

Object: 2016-06-20-EITest-Neutrino-EK-payload-CryptXXX.dll
Path: D:\Virus\2016-06-20-EK-data-dump-malware-and-artifacts
Status: Virus removed
Virus: Gen:Variant.Symmi.65913 (Engine A)

Object: 2016-06-20-Rig-EK-payload-after-chipdating.link.exe
Path: D:\Virus\2016-06-20-EK-data-dump-malware-and-artifacts
Status: Virus removed
Virus: Trojan.GenericKD.3331600 (Engine A)[/mw_shl_code]

显示全部楼层 · 发表于 2016-6-21 14:33:42

显示全部楼层 · 发表于 2016-6-23 08:03:06

McAfee

显示全部楼层 · 发表于 2016-6-23 21:50:52

gdata剩余一个

[病毒样本] 2016-06-20 - EK data dump (Neutrino EK, Rig EK, Sundown EK)

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块