Cerber 16.12.21

显示全部楼层 · 发表于 2016-12-21 17:47:37

本帖最后由 Dolby123 于 2016-12-21 17:48 编辑

Detection ratio: 5 / 55

[mw_shl_code=css,true]AegisLab Troj.Dropper.Gen!c 20161221
Avira (no cloud) TR/Dropper.Gen 20161220
CrowdStrike Falcon (ML) malicious_confidence_100% (W) 20161024
Invincea virus.win32.sality.at 20161216
Qihoo-360 QVM42.0.Malware.Gen 20161221[/mw_shl_code]

显示全部楼层 · 发表于 2016-12-21 18:11:05

本帖最后由 Monismith 于 2016-12-21 23:04 编辑

GD扫描miss，行为监控拦截，坐等B引擎入库

[mw_shl_code=css,true]
*** Actions ***
A packer was run on the program file, possibly to conceal malicious content.
The program has created or manipulated an executable file.
The cloud server recognized this file and identified it as malicious.
An executable file was stored in a suspicious location.

*** Quarantine ***
The following files were moved into quarantine:
C:\Users\Administrator\AppData\Local\Temp\nsy3295.tmp\System.dll
C:\Users\Administrator\AppData\Roaming\Baboon.cHjg
C:\Users\Administrator\AppData\Roaming\Larry.dll
C:\Users\Administrator\AppData\Roaming\argv.js
C:\Users\Administrator\AppData\Roaming\autoidx-ng.xsl
C:\Users\Administrator\AppData\Roaming\change_options.png
C:\Users\Administrator\Desktop\gwdnBwrWR.exe
[/mw_shl_code]
23：00更新，果然

显示全部楼层 · 发表于 2016-12-21 18:12:41

gd中文版也拦截了
AVA 25.9660
GD 25.5863

*** 进程 ***

进程: 8596
文件名: gwdnbwrwr.exe
路径: c:\users\lyy\desktop\gwdnbwrwr.exe

发行商：: 未知发行商
创建日期: 12/21/16 10:09:54
修改日期: 12/21/16 09:43:15

启动进程：: start.exe
发行商：: Invincea, Inc.

*** 操作 ***

已加壳的程序文件，可能隐藏有恶意代码。
程序已创建或已操作可执行文件。
文件云检查已将该文件归类为恶意软件。

*** 隔离区 ***

下列文件被转入隔离区：
C:\Users\lyy\Desktop\gwdnBwrWR.exe
c:\sandbox\lyy\defaultbox\user\current\appdata\local\temp\nsodeeb.tmp\system.dll
c:\sandbox\lyy\defaultbox\user\current\appdata\roaming\larry.dll

下列注册表项被删除：

YHLC0HKCcoJiYuByci4n52JicCp0ckInJyYGt3JycnJiYnAsJycnJyYGuXJywC8nKCcoJgbvcnJycmJicLqC0VtjtnKC0VtjtnJiYnCOcsJwj3KCAAA
规则版本： 5.0.129
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
DLL版本： 55982

"C:\Users\lyy\Desktop\gwdnBwrWR.exe"
MD5: 2B7525EC8DFC57977163050D27CCE75B
"e:\Program Files\Sandboxie\Start.exe" /env:00000000_SBIE_CURRENT_DIRECTORY="C:\Users\lyy\Desktop" /env:=Refresh /elevate "C:\Users\lyy\Desktop\gwdnBwrWR.exe"

显示全部楼层 · 发表于 2016-12-21 18:21:04

青衣染雪发表于 2016-12-21 18:12
gd中文版也拦截了
AVA 25.9660
GD 25.5863

兄弟这回是实机吗？
英文25.3.0.1虽然增加了防勒索模块，但在样本区有反应的，还是行为监控BB

显示全部楼层 · 发表于 2016-12-21 18:28:16

Monismith 发表于 2016-12-21 18:21
兄弟这回是实机吗？
英文25.3.0.1虽然增加了防勒索模块，但在样本区有反应的，还是行为监控BB

再也不实机了，现在用沙盘

显示全部楼层 · 发表于 2016-12-21 18:31:24

卡巴 17
双击运行，防御成功

显示全部楼层 · 发表于 2016-12-21 19:36:19

本帖最后由霄栋于 2016-12-21 19:50 编辑

BDTS2017：ATC拦截，但源文件和衍生物均未处理

显示全部楼层 · 发表于 2016-12-21 20:49:59

本帖最后由挥泪斩情思于 2016-12-21 20:53 编辑

NS

显示全部楼层 · 发表于 2016-12-21 22:08:03

ESET 扫描 miss

双击可能会被AMS杀（打开了个大型程序，不方便开虚拟机双击，实体机就算了

），因为……Live Grid 已经到达危险级别

显示全部楼层 · 发表于 2016-12-21 23:08:39

Zemana - Miss

[病毒样本] Cerber 16.12.21

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块