收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 BANDARCHOR Ransomware
12345下一页
返回列表 发新帖
楼主: 900703
 收起左侧

[病毒样本] BANDARCHOR Ransomware

[复制链接]
ELOHIM
发表于 2016-7-29 17:32:53 | 显示全部楼层
sodium 发表于 2016-7-29 17:31

嗯,威武啊。
SWF一般情况下大都是漏洞攻击无疑了。那两个txt 也是恶意的吗?
好想双击打开,可是技术不过关,不敢打开。
回复

举报

My↘じ★ve
发表于 2016-7-29 17:34:08 | 显示全部楼层
这些东西都是反沙盘的存在啊
回复

举报

vm001
发表于 2016-7-29 17:38:26 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

vm001
发表于 2016-7-29 17:39:52 | 显示全部楼层
900703 发表于 2016-7-29 17:30
有報QVM嗎?

本地qvm监控可以杀,不过那得360杀毒。。
360卫士没这个作用
回复

举报

qq1094250746
发表于 2016-7-29 17:49:42 | 显示全部楼层
歌德塔解压报毒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Luca.l
发表于 2016-7-29 17:53:05 | 显示全部楼层
管家TAV版

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

vm001
发表于 2016-7-29 17:55:58 | 显示全部楼层
ELOHIM 发表于 2016-7-29 17:30
啊哟,这是双击测试360安全卫士吗?
拦截不错。

不错啥。。。拦截不全,png全被改了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

ELOHIM
发表于 2016-7-29 17:58:36 | 显示全部楼层
vm001 发表于 2016-7-29 17:55
不错啥。。。拦截不全,png全被改了


好吧,反正我不敢双击。。。SCEP这货就干掉一个exe,瑞星企业版全程傻乎乎…………
回复

举报

sodium
发表于 2016-7-29 18:00:52 | 显示全部楼层
本帖最后由 sodium 于 2016-7-29 21:05 编辑
ELOHIM 发表于 2016-7-29 17:32
嗯,威武啊。
SWF一般情况下大都是漏洞攻击无疑了。那两个txt 也是恶意的吗?
好想双击打开,可是技术 ...


txt是html的编码,可以改成html打开,但是连接都提示找不到文件,可能是因为抓毒的人把挂马网页连网页带swf带exe都抓下来了

编码里面有个有趣的网址
hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=10,1,52,0

打开会下一个东西,是adobe的flash,之前我以为这个可能会有问题,其实是没问题的

还有,两个txt在中间调用swf处有不同,一个是b3RvcnY.swf,另一个是/1978/10/07/cloak/burden-bloody-happy-tournament-monster-diary-sunday.html.swf

个人觉得第二个swf应该就是有问题的,毕竟把名字取成双扩展名本身就不太正常
回复

举报

ELOHIM
发表于 2016-7-29 18:02:17 | 显示全部楼层
[mw_shl_code=css,true]<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<body>
<div class="container">
    <div class="triangle linkAniHide"><a href="/en"></a></div>
    <div class="close wow fadeInUp linkAniMenu" id="menu-ani-close"></div>
    <nav class="linkAniContent linkAniWrap">
        <ul>
            <li class="wow zoomIn"><a href="/en" >Home</a></li>
            <li class="wow zoomIn"><a href="/en/work/coteetciel" rel="work">Work</a>                <ul>
                <li><a href="/en/work/coteetciel" >C么te&Ciel</a></li>
                <li><a href="/en/work/damirdoma" >Damir Doma</a></li>
                <li><a href="/en/work/flyer-ebikes" >FLYER eBikes</a></li>
                <li><a href="/en/work/seifert-uebler" >Seifert/脺bler</a></li>
                <li><a href="/en/work/dant" >DANT</a></li>
                <li><a href="/en/work/hellosomething" >Hello Something</a></li>
                <li><a href="/en/work/agentur-reichenberger" >Agentur Reichenberger</a></li>
            </ul>
            </li>
            <li class="wow zoomIn"><a href="/en/about" >About us</a></li>
            <li class="wow zoomIn"><a href="/en/contact" >Contact</a></li>
        </ul>
    </nav>
    <div class="social linkAniContent">
        <div class="row">
            <div class="col-xs-12">
                <div class="center">
                    <div class="blk">
                        <object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" height="403" name="penknkbiz" width="214" codebase="http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=10,1,52,0" id="penknkbiz">
                            <param value="/1978/10/07/cloak/burden-bloody-happy-tournament-monster-diary-sunday.html.swf" name="movie"/>
                            <param name="bgcolor" value="#7eb7ea"/>
                            <param value="always" name="allowScriptAccess"/>
                            <embed allowScriptAccess="sameDomain" src="/1978/10/07/cloak/burden-bloody-happy-tournament-monster-diary-sunday.html.swf" loop="false" id="shqkbwb" name="shqkbwb" pluginspage="http://www.macromedia.com/go/getflashplayer" align="middle" quality="high" height="403" width="214" type="application/x-shockwave-flash" play="true"/>
                        </object>
                    </div>
                    <div class="blk">
                        <a href="http://www.vimeo.com/at" target="_blank"></a>
                    </div>
                    <div class="blk">
                        <a href="http://www.instagram.com/anakin.today" target="_blank"></a>
                    </div>
                    <div class="blk">
                        <a href="http://www.behance.net/anakinstudio" target="_blank"></a>
                    </div>
                </div>
            </div>
        </div>
        <div class="row">
            <div class="col-xs-12 address">
                <script>

                </script>
            </div>
        </div>
        <div class="row">
            <div class="col-xs-12 login">
                <div class="clogin"></div>
            </div>
            <div class="col-xs-12 form">
                <form action="/en" method="post" enctype="multipart/form-data">
                    <div class="left">
                        <input name="user" type="text" placeholder="User" />
                        <span>User</span>
                    </div>
                    <div class="right">
                        <input name="password" type="password"  placeholder="Password" />
                        <span>+**#/!鈥?/span>
                    </div>
                    <div class="center">
                        <input type="submit" name="submit" value="Login" />
                    </div>
                </form>
            </div>
        </div>
    </div>
</div>
</body>
</html>[/mw_shl_code]

那两个 TXT 可能在调用 SWF。
回复

举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-14 07:33 , Processed in 0.117292 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表