收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 Rig Exploit Kit Website 8,自己去抓,估计有马
123456下一页
返回列表 发新帖
查看: 9557|回复: 50
收起左侧

[其他相关] Rig Exploit Kit Website 8,自己去抓,估计有马

[复制链接]
墨家小子
发表于 2016-10-29 12:00:49 | 显示全部楼层 |阅读模式
本帖最后由 墨家小子 于 2016-11-2 09:22 编辑

昨天晚上IPS还没有动静

自备梯子:www.stourspace.co.uk/bookings-and-hire/



类别: 入侵防护
日期和时间,风险,活动,状态,推荐的操作,IPS 警报名称,默认操作,采取的操作,攻击电脑,攻击者网址,目标地址,源地址,通信说明
2016/10/29 11:46:31,高,阻止了 localhost 的入侵企图,已阻止,不需要操作,Web Attack: Rig Exploit Kit Website 8,不需要操作,不需要操作,"localhost (127.0.0.1, 1080)","frbk3.tzs172.top/?xXqKd7CaLBnLA4Y=l3SKfPrfJxzFGMSUb-nJDa9GP0XCRQLPh4SGhKrXCJ-ofSih17OIFxzsqAycFUKCqrF4Qu4Fah2h1QWScEZrmYRPFgVIove8hQLfyhSWksbWqUGEYg4U_JbHF-A5jVijnbYSdswjzx-DuzdXzONPQFFd","localhost (127.0.0.1, XXXX)",localhost (127.0.0.1),"TCP, socks"
来自 <b>frbk3.tzs172.top/?xXqKd7CaLBnLA4Y=l3SKfPrfJxzFGMSUb-nJDa9GP0XCRQLPh4SGhKrXCJ-ofSih17OIFxzsqAycFUKCqrF4Qu4Fah2h1QWScEZrmYRPFgVIove8hQLfyhSWksbWqUGEYg4U_JbHF-A5jVijnbYSdswjzx-DuzdXzONPQFFd</b> 的网络通信与已知攻击的特征相匹配。攻击由 \DEVICE\HARDDISKVOLUME5\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE 引起。  要停止接收有关此类通信的通知,请在<b>“操作”</b>面板中单击<b>“不再提醒我”</b>。

Web Attack: Rig Exploit Kit Website 8
Severity: High
This attack could pose a serious security threat. You should take immediate action to stop any damage or prevent further damage from happening.
Description
This signature detects attempts to download exploits from RIG toolkit that may compromise a computer through various vendor vulnerabilities.
Additional Information
Malicious toolkits contain various exploits bundled into a single package. Victims on visiting the malicious server hosting exploit toolkit is attacked with several different exploits exploiting different vulnerabilities one by one. Exploits may include MDAC, PDF, HCP etc.
Affected
Various Browsers

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

rrorr
发表于 2016-10-29 13:13:56 | 显示全部楼层
[mw_shl_code=css,true]2016/10/29 13:05:29,C:\Program Files\Internet Explorer\iexplore.exe,53,Allowed ;执行应用程序 ("C:\Users\ADMINI~1.PC-\AppData\Local\Temp\367D.tmp")
2016/10/29 13:07:21,C:\Windows\System32\shell32.dll,12,Allowed ;安装 WH_MOUSE 钩子
2016/10/29 13:07:36,C:\Windows\System32\shell32.dll,14,Allowed ;安装 WH_MSGFILTER 钩子
2016/10/29 13:07:43,C:\Program Files\Internet Explorer\iexplore.exe,18,Allowed ;记录键盘输入
2016/10/29 13:08:58,C:\Users\ADMINI~1.PC-\AppData\Local\Temp\367D.tmp,53,Allowed ;执行应用程序 (C:\Windows\system32\svchost.exe)
2016/10/29 13:09:07,C:\Windows\System32\dllhost.exe,51,Allowed ;进程间通信 (Explorer.OLE-1556)
2016/10/29 13:09:16,C:\Users\ADMINI~1.PC-\AppData\Local\Temp\367D.tmp,29,Allowed ;修改进程内存 (svchost.exe(pid=852))
2016/10/29 13:09:19,C:\Users\ADMINI~1.PC-\AppData\Local\Temp\367D.tmp,36,Allowed ;DLL 注入 (svchost.exe(pid=852))
2016/10/29 13:09:19,C:\Windows\System32\svchost.exe,53,Allowed ;执行应用程序 ("C:\Windows\system32\svchost.exe")
2016/10/29 13:09:21,C:\Windows\System32\svchost.exe,36,Allowed ;DLL 注入 (svchost.exe(pid=2504))
2016/10/29 13:09:24,C:\Windows\System32\svchost.exe,26,Allowed ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,BhUIUWh0tNOv3A0zkA)
2016/10/29 13:09:24,C:\Windows\System32\svchost.exe,50,Allowed ;使用 DNS 解析服务访问网络
2016/10/29 13:09:24,C:\Windows\System32\svchost.exe,48,Allowed ;出站网络访问
2016/10/29 13:09:28,C:\Windows\System32\svchost.exe,53,Allowed ;执行应用程序 ("C:\Windows\system32\svchost.exe" -l 6gB                                                                                                                                                                                                                           )
2016/10/29 13:09:30,C:\Windows\System32\svchost.exe,36,Allowed ;DLL 注入 (svchost.exe(pid=3924))
2016/10/29 13:09:30,C:\Windows\System32\svchost.exe,50,Allowed ;使用 DNS 解析服务访问网络
2016/10/29 13:09:30,C:\Windows\System32\svchost.exe,48,Allowed ;出站网络访问
2016/10/29 13:09:31,C:\Windows\System32\svchost.exe,25,Allowed ;从其它程序中抓取文字
2016/10/29 13:09:35,C:\Windows\System32\svchost.exe,25,Allowed ;从其它程序中抓取文字
2016/10/29 13:09:37,C:\Windows\System32\svchost.exe,25,Allowed ;从其它程序中抓取文字
2016/10/29 13:09:38,C:\Windows\System32\svchost.exe,25,Allowed ;从其它程序中抓取文字
2016/10/29 13:09:39,C:\Windows\System32\svchost.exe,25,Allowed ;从其它程序中抓取文字
2016/10/29 13:09:39,C:\Windows\System32\svchost.exe,25,Allowed ;从其它程序中抓取文字
2016/10/29 13:09:40,C:\Windows\System32\svchost.exe,25,Allowed ;从其它程序中抓取文字
2016/10/29 13:09:40,C:\Windows\System32\svchost.exe,25,Allowed ;从其它程序中抓取文字
2016/10/29 13:09:41,C:\Windows\System32\svchost.exe,25,Allowed ;从其它程序中抓取文字
2016/10/29 13:09:46,C:\Windows\System32\svchost.exe,25,Allowed ;从其它程序中抓取文字
2016/10/29 13:09:47,C:\Windows\System32\svchost.exe,25,Allowed ;从其它程序中抓取文字
2016/10/29 13:09:48,C:\Windows\System32\svchost.exe,25,Allowed ;从其它程序中抓取文字
2016/10/29 13:09:48,C:\Windows\System32\svchost.exe,53,Allowed ;执行应用程序 ("C:\Windows\system32\svchost.exe" )
2016/10/29 13:09:49,C:\Windows\System32\svchost.exe,25,Allowed ;从其它程序中抓取文字
2016/10/29 13:09:54,C:\Windows\System32\svchost.exe,36,Allowed ;DLL 注入 (svchost.exe(pid=1164))
2016/10/29 13:09:54,C:\Windows\System32\svchost.exe,53,Allowed ;执行应用程序 ("C:\Windows\system32\svchost.exe" )
2016/10/29 13:09:55,C:\Windows\System32\svchost.exe,36,Allowed ;DLL 注入 (svchost.exe(pid=1488))
2016/10/29 13:09:55,C:\Windows\System32\svchost.exe,53,Allowed ;执行应用程序 ("C:\Windows\system32\svchost.exe" )
2016/10/29 13:09:55,C:\Windows\System32\svchost.exe,26,Allowed ;修改受保护的注册表键 (HKLM\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{17015C27-0EF0-46FB-B12E-7F64A9D9BD74},ItemData)
2016/10/29 13:09:56,C:\Windows\System32\svchost.exe,36,Allowed ;DLL 注入 (svchost.exe(pid=352))
2016/10/29 13:09:56,C:\Windows\System32\svchost.exe,53,Allowed ;执行应用程序 ("C:\Windows\system32\svchost.exe" )
2016/10/29 13:09:56,C:\Windows\System32\svchost.exe,18,Allowed ;记录键盘输入
2016/10/29 13:09:56,C:\Windows\System32\svchost.exe,17,Allowed ;记录键盘输入
2016/10/29 13:09:56,C:\Windows\System32\svchost.exe,48,Allowed ;出站网络访问
2016/10/29 13:10:00,C:\Windows\System32\svchost.exe,36,Allowed ;DLL 注入 (svchost.exe(pid=3316))
2016/10/29 13:10:00,C:\Windows\System32\svchost.exe,53,Allowed ;执行应用程序 ("C:\Windows\system32\svchost.exe" )
2016/10/29 13:10:01,C:\Windows\System32\svchost.exe,36,Allowed ;DLL 注入 (svchost.exe(pid=3232))
2016/10/29 13:10:05,C:\Windows\System32\svchost.exe,48,Allowed ;出站网络访问
2016/10/29 13:10:06,C:\Windows\System32\svchost.exe,48,Allowed ;出站网络访问
[/mw_shl_code]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

电脑发烧友
发表于 2016-10-29 13:15:07 | 显示全部楼层
rrorr 发表于 2016-10-29 13:13
[mw_shl_code=css,true]2016/10/29 13:05:29,C:\Program Files\Internet Explorer\iexplore.exe,53,Allowed ...


什么软件的日志?
回复

举报

rrorr
发表于 2016-10-29 13:15:50 | 显示全部楼层
电脑发烧友 发表于 2016-10-29 13:15
什么软件的日志?

SSF?
回复

举报

windows7爱好者
发表于 2016-10-29 13:16:09 | 显示全部楼层
失踪人口回归系列
回复

举报

电脑发烧友
发表于 2016-10-29 13:17:45 | 显示全部楼层
rrorr 发表于 2016-10-29 13:15
SSF?

还真没见过SSF的日志,通常只看见弹窗
回复

举报

windows7爱好者
发表于 2016-10-29 13:37:44 | 显示全部楼层
rrorr 发表于 2016-10-29 13:15
SSF?

7还是10抓的
回复

举报

驭龙
发表于 2016-10-29 13:38:04 | 显示全部楼层
rrorr 发表于 2016-10-29 13:13
[mw_shl_code=css,true]2016/10/29 13:05:29,C:\Program Files\Internet Explorer\iexplore.exe,53,Allowed ...

SEP 14的机器学习杀

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

电脑发烧友
发表于 2016-10-29 13:38:52 | 显示全部楼层
火绒
操作者:C:\Users\22796\Desktop\367D.exe
命令行:"C:\Users\22796\Desktop\367D.exe"
风险动作:修改关键系统进程
目标进程:C:\Windows\System32\svchost.exe
操作类型:
用户操作:已阻止
回复

举报

windows7爱好者
发表于 2016-10-29 13:44:10 | 显示全部楼层
驭龙 发表于 2016-10-29 13:38
SEP 14的机器学习杀

A杀还有吗
回复

举报

下一页 »
123456下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-8 12:54 , Processed in 0.134313 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表