（16.11.17）Ransom #2

诸葛亮

驭龙 发表于 2016-11-17 16:44
是的，就是我上次说的云SONAR杀

好的，明白了

驭龙

诸葛亮 发表于 2016-11-17 16:49
好的，明白了

这种AM.C是利用云端数据识别威胁的，你可以点击查看，今天又有AM.E的了，不知那个是不是云的，现在确认的是AM.C的是云

胖福

诸葛亮 发表于 2016-11-17 16:36
据说这是SONAR新报法？@驭龙  @胖福

文件名: 1.exe
威胁名称: SONAR.SelfHijack!gen1完整路径: 不可用
____________________________
____________________________

在电脑上 
2016-11-17 ( 16:45:01 )

上次使用时间 
2016-11-17 ( 16:45:01 )

启动项 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

1.exe 威胁名称: SONAR.SelfHijack!gen1
定位

极少用户信任的文件
Norton 社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。

源文件:
1.exe
____________________________

文件操作

文件: f:\norton样本\sonar漏检\临时收集\ 1.exe 威胁已删除
文件: c:\users\administrator\appdata\local\temp\ contentpage.min.css 威胁已删除
文件: c:\users\administrator\appdata\local\temp\ treebank.jsp 威胁已删除
文件: c:\users\administrator\appdata\local\temp\ 2000 威胁已删除
文件: c:\users\administrator\appdata\local\temp\ dropbox_with_files-vflyckcld.png 威胁已删除
文件: c:\users\administrator\appdata\local\temp\ ggm0kqebu4ucjiebnyaxotz.jsidbvtaq8js 威胁已删除
事件: 正在运行进程: f:\norton样本\sonar漏检\临时收集\ 1.exe 已终止
目录: c:\Users\administrator\AppData\Local\Temp\ nsbFD62.tmp 删除失败
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\sonar漏检\临时收集\1.exe, PID:5832) 未采取操作
事件: PE 文件创建: c:\Users\administrator\AppData\Local\Temp\nsbFD62.tmp\ System.dll (执行者 f:\norton样本\sonar漏检\临时收集\1.exe, PID:5832) 未采取操作
事件: 进程启动: f:\norton样本\sonar漏检\临时收集\ 1.exe, PID:6040 (执行者 f:\norton样本\sonar漏检\临时收集\1.exe, PID:5832) 未采取操作
事件: 进程启动: f:\norton样本\sonar漏检\临时收集\ 1.exe, PID:5832 (执行者 f:\norton样本\sonar漏检\临时收集\1.exe, PID:5832) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用






文件名: 2.exe
威胁名称: SONAR.SelfHijack!gen1完整路径: 不可用
____________________________
____________________________

在电脑上 
2016-11-17 ( 16:51:01 )

上次使用时间 
2016-11-17 ( 16:51:01 )

启动项 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

2.exe 威胁名称: SONAR.SelfHijack!gen1
定位

极少用户信任的文件
Norton 社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。
____________________________

来源: 外部介质

源文件:
2.exe
____________________________

文件操作

文件: f:\norton样本\sonar漏检\临时收集\ 2.exe 威胁已删除
文件: c:\users\administrator\appdata\local\temp\ contentpage.min.css 威胁已删除
文件: c:\users\administrator\appdata\local\temp\ treebank.jsp 威胁已删除
文件: c:\users\administrator\appdata\local\temp\ 2000 威胁已删除
文件: c:\users\administrator\appdata\local\temp\ dropbox_with_files-vflyckcld.png 威胁已删除
文件: c:\users\administrator\appdata\local\temp\ ggm0kqebu4ucjiebnyaxotz.jsidbvtaq8js 威胁已删除
事件: 正在运行进程: f:\norton样本\sonar漏检\临时收集\ 2.exe 已终止
目录: c:\Users\administrator\AppData\Local\Temp\ nsm5CB.tmp 删除失败
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\sonar漏检\临时收集\2.exe, PID:4812) 未采取操作
事件: PE 文件创建: c:\Users\administrator\AppData\Local\Temp\nsm5CB.tmp\ System.dll (执行者 f:\norton样本\sonar漏检\临时收集\2.exe, PID:4812) 未采取操作
事件: 进程启动: f:\norton样本\sonar漏检\临时收集\ 2.exe, PID:4852 (执行者 f:\norton样本\sonar漏检\临时收集\2.exe, PID:4812) 未采取操作
事件: 进程启动: f:\norton样本\sonar漏检\临时收集\ 2.exe, PID:4812 (执行者 f:\norton样本\sonar漏检\临时收集\2.exe, PID:4812) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

驭龙

胖福 发表于 2016-11-17 16:51
文件名: 1.exe
威胁名称: SONAR.SelfHijack!gen1完整路径: 不可用
____________________________

那你那边可能没有云数据的连接吧

诸葛亮

胖福 发表于 2016-11-17 16:51
文件名: 1.exe
威胁名称: SONAR.SelfHijack!gen1完整路径: 不可用
____________________________

...居然不一样。。。

诸葛亮

驭龙 发表于 2016-11-17 16:51
这种AM.C是利用云端数据识别威胁的，你可以点击查看，今天又有AM.E的了，不知那个是不是云的，现在确认的 ...

嗯，看介绍的确是基于云数据的

SONAR.AM.C!g6 is a heuristic detection designed to detect malware, adware, and potentially unwanted applications based on suspicious behaviors uncovered from cloud data.

驭龙

诸葛亮 发表于 2016-11-17 16:57
...居然不一样。。。

看来福哥那里的Insight受影响了，应该是网络不稳定，所以没有出现AM.C的云报法

心痛的伤不起

类别: 特洛伊木马

描述: 这个程序很危险，而且执行来自攻击者的命令。

推荐的操作: 立即删除这个软件。

项目:
file:C:\Users\555555\Desktop\1.exe

欧阳宣

webroot

双击后毫无反应，甚至连cmd的弹窗都没有
半小时后云端入库杀

驭龙

诸葛亮 发表于 2016-11-17 16:57
...居然不一样。。。

难道是因为win 7系统的问题？我虚拟机也没有出现AM.C报法，而是跟@胖福   福哥那里的报法一样。

2号样本


1号样本


Insight网络一切正常