最近百度知道下面铺天盖地的病毒样本

fireherman

ESET-NOD32 ESS

右键 miss

双击运行，防火墙拦截（询问），选择【允许】并一路放行：




各种各种的流氓软件蜂拥而至。

最后kill 8个（1个木马+7个pua），【ESET的HIPS自定义规则】虽然拦截了注册表启动项键值，但电脑依然被强制重启（HIPS还没截图）

我靠！太流氓了……………………估计重启后的系统基本上是完蛋了。

[mw_shl_code=css,true]2016-9-16 21:26:05        文件系统实时防护        文件        C:\DOCUME~1\Raymond\LOCALS~1\Temp\Browser_V5.6.12860.10_r_4396_(Build1605251856).exe        Win32/Taobao.B 潜在的不受欢迎应用程序 的变种        已删除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: E:\VirZ\foazolicjlbcad.exe (13AA154F2224627D172F1AFFD171C2F5BC9AB1A3).        9F6B45F364D77021614EF5F8CDA1FAED4D4915FE        2016-9-16 21:25:27
2016-9-16 21:26:02        HTTP 过滤器        文件        http://umcdn.uc.cn/down/4396/Browser_V5.7.15319.5_r_4396_(Build1608291541).exe        Win32/Taobao.B 潜在的不受欢迎应用程序 的变种                RAYMOND-9B1A7AC\Raymond        通过应用程序访问 web 时检测到威胁: E:\VirZ\foazolicjlbcad.exe (13AA154F2224627D172F1AFFD171C2F5BC9AB1A3).        DC67986CBEF74319BA21D5C63CEFDC0C53B725BD        2016-9-16 21:25:27
2016-9-16 21:25:27        文件系统实时防护        文件        C:\DOCUME~1\Raymond\LOCALS~1\Temp\rav3490022.exe        Win32/Rising.E 潜在的不受欢迎应用程序 的变种        已删除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: E:\VirZ\foazolicjlbcad.exe (13AA154F2224627D172F1AFFD171C2F5BC9AB1A3).        9C1756CB893D4ED536B6F1083B6E5BB90C34EB90        2016-9-16 21:25:14
2016-9-16 21:25:17        文件系统实时防护        文件        C:\Documents and Settings\Raymond\Local Settings\Temporary Internet Files\Content.IE5\BNKCIVTF\rav3490022[1].exe        Win32/Rising.E 潜在的不受欢迎应用程序 的变种        已删除 （下次重新启动后）        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: E:\VirZ\foazolicjlbcad.exe (13AA154F2224627D172F1AFFD171C2F5BC9AB1A3).        9C1756CB893D4ED536B6F1083B6E5BB90C34EB90        2016-9-16 21:25:14
2016-9-16 21:25:13        HTTP 过滤器        文件        http://dlsw.br.baidu.com/ditui/z ... _ftn_1050123723.exe        Win32/Baidu.J 潜在的不受欢迎应用程序        无法清除        RAYMOND-9B1A7AC\Raymond        通过应用程序访问 web 时检测到威胁: E:\VirZ\foazolicjlbcad.exe.               
2016-9-16 21:24:56        文件系统实时防护        文件        C:\Program Files\Baidu\BaiduPinyin\3.3.2.1028\BaiducnTSFx64.dll        Win64/Baidu.A 潜在的不受欢迎应用程序 的变种        已删除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Documents and Settings\Raymond\Local Settings\Temp\56a190le_1202000538.exe (5C4E5EFF6FCCD46EFB1A940A87C79A707D992AE4).        928FD5209A568333193B4327897FBCD25829A876        2016-9-16 15:19:02
2016-9-16 21:24:56        文件系统实时防护        文件        C:\Program Files\Baidu\BaiduPinyin\3.3.2.1028\BaiducnTSF.dll        Win32/Baidu.I 潜在的不受欢迎应用程序 的变种        已删除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Documents and Settings\Raymond\Local Settings\Temp\56a190le_1202000538.exe (5C4E5EFF6FCCD46EFB1A940A87C79A707D992AE4).        D5A647CE1DDE1FAA4128C1DB5C82851CA73716A7        2016-9-16 15:19:02
2016-9-16 21:24:55        文件系统实时防护        文件        C:\Program Files\Baidu\BaiduPinyin\3.3.2.1028\Baiducnx64.ime        Win64/Baidu.A 潜在的不受欢迎应用程序 的变种        已删除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Documents and Settings\Raymond\Local Settings\Temp\56a190le_1202000538.exe (5C4E5EFF6FCCD46EFB1A940A87C79A707D992AE4).        F8DCD255C7160347AF343BD6824640D1960A3AFE        2016-9-16 15:19:02
2016-9-16 21:24:55        文件系统实时防护        文件        C:\Program Files\Baidu\BaiduPinyin\3.3.2.1028\Baiducn.ime        Win32/Baidu.I 潜在的不受欢迎应用程序 的变种        已删除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Documents and Settings\Raymond\Local Settings\Temp\56a190le_1202000538.exe (5C4E5EFF6FCCD46EFB1A940A87C79A707D992AE4).        F488AFF961286A852FBA6F887BA9369D7DBB8BBE        2016-9-16 15:19:02[/mw_shl_code]

Gecko88

540923555 发表于 2016-9-16 21:26
VT我家的网打不开，需要回办公室。。。。

VT

540923555

fireherman 发表于 2016-9-16 21:33
ESET-NOD32 ESS

右键 miss

看楼下的VT，eset扫出来了啊

fireherman

540923555 发表于 2016-9-16 21:42
看楼下的VT，eset扫出来了啊

我使用了快照还原，ESET没更新（14117库）就下载打开。还是因为我一路放行。

540923555

aboringman 发表于 2016-9-16 21:32
PUP，不予置评

看不起PUP吗？？？


看人家微软回复我之前那些PUP的分析和邮件多认真

This trojan can use your PC to click on online advertisements without your permission or knowledge. This can earn money for a malicious hacker by making a website or application appear more popular than it is.

Analysis of the file(s) in Submission ID MMPC16091511431915 is now complete.

This is the final email that you will receive regarding this submission.

The Microsoft Malware Protection Center (MMPC) has investigated the following file(s) which we received on 9/15/2016 2:39:16 AM Pacific Time.
Below is the determination for your submission.

========
Submission ID MMPC16091511431915

Submitted Files
=============================================
yxj.exe [TrojanClicker:Win32/Yinsuide.A]

The following links contain more information regarding the detections listed above:
http://www.microsoft.com/securit ... er:Win32/Yinsuide.A       


Analyst Comments
================
-- 9/15/2016 3:59:12 PM --
Thanks for your submission. We've added detection as TrojanClicker:Win32/Yinsuide.A.

Geoff

ccboxes

540923555 发表于 2016-9-16 21:42
看楼下的VT，eset扫出来了啊

没扫出来，这个是易语言的通用报法，国外版的ESET默认所有易语言程序为病毒。国内版就只杀确认有害的。

张拓滨

文件名: 超清下载地址.exe
威胁名称: Heur.AdvML.B完整路径: c:\users\administrator\desktop\样本\超清下载地址.exe

____________________________

____________________________


在电脑上 
2016/9/17 ( 0:16:19 )

上次使用时间 
2016/9/17 ( 0:18:19 )

启动项 
否

已启动 
否

威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。

____________________________


超清下载地址.exe 威胁名称: Heur.AdvML.B
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


http://36.248.10.59/ws.cdn.baidu ... mp;to=hc&fm=Yan,B,G,bs&sta_dx=2625470&sta_cs=28209&sta_ft=rar&sta_ct=1&sta_mt=1&fm2=Yangquan,B,G,bs&newver=1&newfm=1&secfm=1&flow_ver=3&pkey=1400bdcb063c616554a1333593522cce7358e2a9e24e000000280fbe&sl=79364174&expires=8h&rt=sh&r=737664367&mlogid=6030401750089453448&vuk=-&vbdid=1483918606&fin=超清下载地址.rar&fn=超清下载地址.rar&slt=pm&uta=0&rtype=1&iv=0&isw=0&dp-logid=6030401750089453448&dp-callid=0.1.1&csl=100&csign=3jGVYYASHQbhGvneTvxf2DSEuc8=&wshc_tag=0&wsts_tag=57dc1ae5&wsid_tag=dc731e03&wsiphost=ipdbm
已下载文件 从 36.248.10.59
来源: 外部介质

超清下载地址.exe

____________________________

文件操作

文件: c:\users\administrator\desktop\样本\ 超清下载地址.exe 已删除
____________________________


文件指纹 - SHA:
4612ae022df486bb594f860c08add2a0952269d8db707eea342409b427e43f8f
文件指纹 - MD5:
不可用

ELOHIM

540923555 发表于 2016-9-16 22:25
看不起PUP吗？？？

TrojanClicker: Win32/Yinsuide.A

第一次看到这个真实的名字，以前都是在MMPC病毒百科里面。

————————————————————————————————

Windows Defender 已检测到恶意软件或其他潜在的垃圾软件。
请参阅以下详细信息:
http://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Dynamer!ac&threatid=2147684005&enterprise=0
         名称: Trojan:Win32/Dynamer!ac
         ID: 2147684005
         严重性: 严重
         类别: 特洛伊木马
         路径:

containerfile:_C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\CFC8C5AF-BE18-37CC-4EB6-4EAF0A446670_1d21104069ad350;containerfile:_C:\Users\kafan\Downloads\瓒呮竻涓嬭浇鍦板潃.rar;file:_C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\CFC8C5AF-BE18-37CC-4EB6-4EAF0A446670_1d21104069ad350;file:_C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\CFC8C5AF-BE18-37CC-4EB6-4EAF0A446670_1d21104069ad350->超清下载地址.exe;file:_C:\Users\kafan\Downloads\瓒呮竻涓嬭浇鍦板潃.rar->超清下载地址.exe;webfile:_C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\CFC8C5AF-BE18-37CC-4EB6-4EAF0A446670_1d21104069ad350|http://123.182.128.3:8666/file/bdcb063c616554a1333593522cce7358?sdk_id=258&task_id=2452348329680896009&business_id=4097&bkt=p3-1400bdcb063c616554a1333593522cce7358e2a9e24e000000280fbe&xcode=b9b05a1937a10069e339a8a355f1371c749548a5c270ef4f0967cef3f0948c81&fid=1684167775-250528-646961451601243&time=1474044764&sign=FDTAXGERLBH-DCb740ccc5511e5e8fedcff06b081203-WF41HMV72QY4.10.14393.0FFwux2552kd4.10.14393.0BhC3c{53A3B608-9BD0-4BA2-8E85-9ECD94B6B8EF}D&to=sd&fm=Yan,B,T,t&sta_dx=

         检测来源: Internet
         检测类型: 实际
         检测源: 下载和附件
         用户: kafan\kafan
         进程名称: Unknown
         签名版本: AV: 1.227.2489.0, AS: 1.227.2489.0, NIS: 116.26.0.0
         引擎版本: AM: 1.1.13000.0, NIS: 2.1.12706.0

蓝天二号

AVG

aboringman

540923555 发表于 2016-9-16 22:25
看不起PUP吗？？？

没有看不起，而是AMS和IDP无能为力，所以我什么都不想说