楼主: windows7爱好者
收起左侧

[病毒样本] 黑客大大更新了,网马第三弹

  [复制链接]
ELOHIM
发表于 2016-11-1 19:36:40 | 显示全部楼层
驭龙 发表于 2016-11-1 18:46
刚刚测试楼主的另一个样本,目测也会是Behavior Severe Level杀,等一会儿才能完成


好的。
这个 Behavior Severe Level 算启发吗?
windows7爱好者
 楼主| 发表于 2016-11-1 19:37:30 | 显示全部楼层
ELOHIM 发表于 2016-11-1 19:36
好的。
这个 Behavior Severe Level 算启发吗?

这个应该是行为防护吧
也就是主防
ELOHIM
发表于 2016-11-1 19:41:54 | 显示全部楼层
本帖最后由 ELOHIM 于 2016-11-1 19:46 编辑
windows7爱好者 发表于 2016-11-1 19:37
这个应该是行为防护吧
也就是主防



Behavior Severe Level

字面理解的话应该如你所说。

但是微软不写出来 。。。。。

病毒百科查无此项。

————————————————————————

编辑一下,说错了。
微软有相关定义:https://www.microsoft.com/securi ... :Win32/Cerber.gen!A



First published: May 12, 2016

Latest published: 没有。

也就是说:May 12, 2016 才加入这个功能???


windows7爱好者
 楼主| 发表于 2016-11-1 19:47:42 | 显示全部楼层
ELOHIM 发表于 2016-11-1 19:41
Behavior Severe Level

字面理解的话应该如你所说。

其实我就是按字面意思理解的
ELOHIM
发表于 2016-11-1 19:51:20 | 显示全部楼层
windows7爱好者 发表于 2016-11-1 19:47
其实我就是按字面意思理解的


Windows Defender检测并删除这种威胁。
勒索能阻止您使用您的 PC 或访问您的数据。
它是勒索,和通过电子邮件、 漏洞-套件和其他驱动器由下载传播勒索作为服务类别的成员。截至 9 月,到 2016 年,我们目睹了这一威胁使用Exploit:HTML/Pangimop (大小) 和钻机利用其在亚洲地区 (台湾和韩国) 运动中的包。我们还看到它在包含基于脚本的下载工具,例如那些写在 javascript (.js)、 办公室 VBA (如.doc 和.rtf 的 Word 文档) 和 Windows 脚本文件 (.wsf) 的电子邮件附件分发。截至 2016 年 10 月,我们已经看到抢注行为之交付通过密码保护的电子邮件附件,以及其他威胁。
抢注行为之加密文件使用 RSA 和 RC4 算法,并使用以下加密的文件扩展名︰
  • .cerber
  • .cerber2
  • .cerber3
它可能会问你对恶意黑客付钱 (在比特币的形式)。它可以播放文本到语音转换或合成的纪录,显示 web 页或纯文本文档。
你可以阅读更多关于我们勒索页.


MMPC之 Win32/Cerber 家族:


http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=Win32/Cerber



Virus4
发表于 2016-11-1 19:53:56 | 显示全部楼层
ELOHIM 发表于 2016-11-1 19:51
MMPC之 Win32/Cerber 家族:

http://www.microsoft.com/security/portal/threat/Encyclopedia ...

应该是行为防御。。

运行到勒索的那一步(我在UAC点了是以后)

才报的毒
ELOHIM
发表于 2016-11-1 19:56:34 | 显示全部楼层
Virus4 发表于 2016-11-1 19:53
应该是行为防御。。

运行到勒索的那一步(我在UAC点了是以后)

还有UAC弹窗这个病毒。。

很多不鸟UAC的。
windows smartscreen 有反应米??
Virus4
发表于 2016-11-1 20:03:21 | 显示全部楼层
ELOHIM 发表于 2016-11-1 19:56
还有UAC弹窗这个病毒。。

很多不鸟UAC的。

有一个CMD运行的UAC,那个以后勒索就开始加密文件了应该

倒是有一个问我以后提示的设置。遇到可疑文件提示还是啥都不提示。

算是有参与吧?不太清楚。没有直白的具体弹窗。
ELOHIM
发表于 2016-11-1 20:05:34 | 显示全部楼层
Virus4 发表于 2016-11-1 20:03
有一个CMD运行的UAC,那个以后勒索就开始加密文件了应该

倒是有一个问我以后提示的设置。遇到可疑文件 ...

步步截图就好了。还是别双击了。
有联网行为吧。。换个IP改个路由密码先。
windows7爱好者
 楼主| 发表于 2016-11-1 20:13:00 | 显示全部楼层
Virus4 发表于 2016-11-1 20:03
有一个CMD运行的UAC,那个以后勒索就开始加密文件了应该

倒是有一个问我以后提示的设置。遇到可疑文件 ...

CMD的弹窗是删除卷影备份,完了之后就开始加密
第二个没有关系
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 12:53 , Processed in 0.098702 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表