Cerber X2

显示全部楼层 · 发表于 2017-1-6 10:31:24

PSEUDO-DARKLEECH RIG-V SENDS CERBER RANSOMWARE
链接: https://pan.baidu.com/s/1slOwAlf 密码: gtxx

MALSPAM SPREADING CERBER RANSOMWARE
链接: https://pan.baidu.com/s/1o8Q4Etc 密码: 6h9d

取自Malware Traffic Analysis

显示全部楼层 · 发表于 2017-1-6 10:50:27

微点拦截3个EXE

显示全部楼层 · 发表于 2017-1-6 10:51:20

MSE
[mw_shl_code=css,true]2017-01-04-Cerber-malspam-2312-UTC.eml->(part0000:7318620611899.zip)->12027_ZIP.zip->12027.doc          Infected: TrojanDownloader:O97M/Donoff.DN
2017-01-04-Cerber-malspam-2327-UTC.eml->(part0000:954461.zip)->24591_ZIP.zip->24591.doc                Infected: TrojanDownloader:O97M/Donoff
2017-01-05-Cerber-malspam-0859-UTC.eml->(part0000:402402188984588.zip)->31879_ZIP.zip->31879.doc       Infected: TrojanDownloader:O97M/Donoff.DN
402402188984588.zip->31879_ZIP.zip->31879.doc                                                          Infected: TrojanDownloader:O97M/Donoff.DN
7318620611899.zip->12027_ZIP.zip->12027.doc                                                             Infected: TrojanDownloader:O97M/Donoff.DN
954461.zip->24591_ZIP.zip->24591.doc                                                                   Infected: TrojanDownloader:O97M/Donoff[/mw_shl_code]

显示全部楼层 · 发表于 2017-1-6 10:51:20

火绒

显示全部楼层 · 发表于 2017-1-6 12:02:41

管家扫描miss

显示全部楼层 · 发表于 2017-1-6 14:40:46

Free Antivirus
报告档日期： 2017年1月6日  14:37

扫描的组态设定：
工作名称.............: ShlExt
组态档..............: C:\Users\user\AppData\Local\Temp\6620011e.avp
报告功能.............: 预设值
主要动作.............: 互动式
次要动作.............: 略过
扫描主开机磁区..........: 开启
扫描开机磁区...........: 开启
开机磁区.............: F:,
处理序扫描............: 关闭
扫描登录.............: 关闭
搜寻 Rootkit.......: 关闭
系统档案完整性检查........: 关闭
扫描所有档案...........: 智慧型档案选取
扫描封存.............: 开启
Recursion depth..: 20
智慧副档名辨识..........: 开启
巨集病毒启发式扫毒........: 开启
档案启发式扫毒..........: 延伸
略过的档案............: c:\program files\comodo\, c:\programdata\comodo\, f:\software\,
非一般风险类别..........: +SPR,

扫描开始： 2017年1月6日  14:37

开始档案扫描：

开始扫描 'F:\Other\2017-01-04-Cerber-malspam-2312-UTC.eml'
F:\Other\2017-01-04-Cerber-malspam-2312-UTC.eml
[0] 封存类型: MIME
--> 7318620611899.zip
      [1] 封存类型: ZIP
   --> 12027_ZIP.zip
      [2] 封存类型: ZIP
      --> 12027.doc
         [侦测]       包含 W2000M/Agent.1498 巨集病毒码
         [警告]       无法修复封存中受感染的档案！
开始扫描 'F:\Other\2017-01-04-Cerber-malspam-2327-UTC.eml'
F:\Other\2017-01-04-Cerber-malspam-2327-UTC.eml
[0] 封存类型: MIME
--> 954461.zip
      [1] 封存类型: ZIP
   --> 24591_ZIP.zip
      [2] 封存类型: ZIP
      --> 24591.doc
         [侦测]       是 TR/Peals.vvexz 特洛伊木马程式
         [警告]       无法修复封存中受感染的档案！
开始扫描 'F:\Other\2017-01-05-Cerber-malspam-0859-UTC.eml'
开始扫描 'F:\Other\2017-01-05-1st-run-pseudoDarkleech-Rig-V-payload-Cerber-rad7D3BE.tmp.exe'
开始扫描 'F:\Other\2017-01-05-2nd-run-pseudoDarkleech-Rig-V-payload-Cerber-rad75AE1.tmp.exe'
开始扫描 'F:\Other\2017-01-05-3rd-run-pseudoDarkleech-Rig-V-payload-Cerber-rad7CD11.tmp.exe'
开始扫描 'F:\Other\Roaming.exE'
开始扫描 'F:\Other\2017-01-05-1st-run-Cerber-decryption-instructions_TK1LXF_README_.hta'
开始扫描 'F:\Other\2017-01-05-2nd-run-Cerber-decryption-instructions_VIMFE_README_.hta'
开始扫描 'F:\Other\2017-01-05-3rd-run-Cerber-decryption-instructions_WTAD_README_.hta'
开始扫描 'F:\Other\2017-01-05-Cerber-from-malspam_NQIB7_README_.hta'
开始扫描 'F:\Other\2017-01-05-1st-run-Cerber-decryption-instructions_TK1LXF_README_.jpg'
开始扫描 'F:\Other\2017-01-05-2nd-run-Cerber-decryption-instructions_VIMFE_README_.jpg'
开始扫描 'F:\Other\2017-01-05-3rd-run-Cerber-decryption-instructions_WTAD_README_.jpg'
开始扫描 'F:\Other\2017-01-05-Cerber-from-malspam_NQIB7_README_.jpg'
开始扫描 'F:\Other\2017-01-05-1st-run-pseudoDarkleech-Rig-V-flash-exploit.swf'
开始扫描 'F:\Other\2017-01-05-2nd-run-pseudoDarkleech-Rig-V-flash-exploit.swf'
开始扫描 'F:\Other\2017-01-05-3rd-run-pseudoDarkleech-Rig-V-flash-exploit.swf'
开始扫描 'F:\Other\2017-01-05-1st-run-page-from-laykni.com-with-injected-pseudoDarkleech-script.txt'
开始扫描 'F:\Other\2017-01-05-1st-run-pseudoDarkleech-Rig-V-artifact-OTTYUADAF.txt'
F:\Other\2017-01-05-1st-run-pseudoDarkleech-Rig-V-artifact-OTTYUADAF.txt
  [侦测]       包含 HTML/ExpKit.Gen6 HTML 指令码病毒的辨识模式
开始扫描 'F:\Other\2017-01-05-1st-run-pseudoDarkleech-Rig-V-landing-page.txt'
开始扫描 'F:\Other\2017-01-05-2nd-run-page-from-joellipman.com-with-injected-pseudoDarkleech-script.txt'
开始扫描 'F:\Other\2017-01-05-2nd-run-pseudoDarkleech-Rig-V-artifact-OTTYUADAF.txt'
F:\Other\2017-01-05-2nd-run-pseudoDarkleech-Rig-V-artifact-OTTYUADAF.txt
  [侦测]       包含 HTML/ExpKit.Gen6 HTML 指令码病毒的辨识模式
开始扫描 'F:\Other\2017-01-05-2nd-run-pseudoDarkleech-Rig-V-landing-page.txt'
开始扫描 'F:\Other\2017-01-05-3rd-run-page-from-lovlose.com-with-injected-pseudoDarkleech-script.txt'
开始扫描 'F:\Other\2017-01-05-3rd-run-pseudoDarkleech-Rig-V-artifact-OTTYUADAF.txt'
F:\Other\2017-01-05-3rd-run-pseudoDarkleech-Rig-V-artifact-OTTYUADAF.txt
  [侦测]       包含 HTML/ExpKit.Gen6 HTML 指令码病毒的辨识模式
开始扫描 'F:\Other\2017-01-05-3rd-run-pseudoDarkleech-Rig-V-landing-page.txt'
开始扫描 'F:\Other\954461.zip'
F:\Other\954461.zip
[0] 封存类型: ZIP
--> 24591_ZIP.zip
      [1] 封存类型: ZIP
   --> 24591.doc
      [侦测]       是 TR/Peals.vvexz 特洛伊木马程式
      [警告]       无法修复封存中受感染的档案！
开始扫描 'F:\Other\7318620611899.zip'
F:\Other\7318620611899.zip
[0] 封存类型: ZIP
--> 12027_ZIP.zip
      [1] 封存类型: ZIP
   --> 12027.doc
      [侦测]       包含 W2000M/Agent.1498 巨集病毒码
      [警告]       无法修复封存中受感染的档案！
开始扫描 'F:\Other\402402188984588.zip'

开始消毒：
F:\Other\7318620611899.zip
  [侦测]       包含 W2000M/Agent.1498 巨集病毒码
  [注意]       档案会移动至 '50cb9692.qua' 名称底下的隔离区目录!
F:\Other\954461.zip
  [侦测]       是 TR/Peals.vvexz 特洛伊木马程式
  [注意]       档案会移动至 '485fb931.qua' 名称底下的隔离区目录!
F:\Other\2017-01-05-3rd-run-pseudoDarkleech-Rig-V-artifact-OTTYUADAF.txt
  [侦测]       包含 HTML/ExpKit.Gen6 HTML 指令码病毒的辨识模式
  [注意]       档案会移动至 '1a03e3dc.qua' 名称底下的隔离区目录!
F:\Other\2017-01-05-2nd-run-pseudoDarkleech-Rig-V-artifact-OTTYUADAF.txt
  [侦测]       包含 HTML/ExpKit.Gen6 HTML 指令码病毒的辨识模式
  [注意]       档案会移动至 '7c34ac1f.qua' 名称底下的隔离区目录!
F:\Other\2017-01-05-1st-run-pseudoDarkleech-Rig-V-artifact-OTTYUADAF.txt
  [侦测]       包含 HTML/ExpKit.Gen6 HTML 指令码病毒的辨识模式
  [注意]       档案会移动至 '39b08121.qua' 名称底下的隔离区目录!
F:\Other\2017-01-04-Cerber-malspam-2327-UTC.eml
  [侦测]       是 TR/Peals.vvexz 特洛伊木马程式
  [注意]       档案会移动至 '46abb342.qua' 名称底下的隔离区目录!
F:\Other\2017-01-04-Cerber-malspam-2312-UTC.eml
  [侦测]       包含 W2000M/Agent.1498 巨集病毒码
  [注意]       档案会移动至 '0a139f08.qua' 名称底下的隔离区目录!

扫描结束： 2017年1月6日  14:37
已使用时间: 00:00 分钟

已完成全部的扫描.

   0 扫描的目录
   66 个档案已扫描
   7 个已发现的病毒和/或有害的程式
   0 档案已归类为可疑
   0 个档案已删除
   0 个病毒和有害的程式已修复
   7 档案已移至隔离区
   0 档案已重新命名
   0 无法扫描档案
   59 无疑虑的档案
   22 已扫描封存
   4 警告
   7 注意

显示全部楼层 · 发表于 2017-1-6 14:52:26

扫描杀了几个DOC和hta那个文件是啥子鬼。。

显示全部楼层 · 发表于 2017-1-6 15:05:22

显示全部楼层 · 发表于 2017-1-6 15:32:06

本帖最后由 fireherman 于 2017-1-6 15:38 编辑

ESET kill ALL

2017-01-05-psuedoDarkleech-Rig-V-sends-Cerber-malware-and-artifacts.zip [ALL]

[mw_shl_code=css,true]2017/1/6 15:29:28 文件系统实时防护文件 Z:\TEMP\2017-01-05-3rd-run-pseudoDarkleech-Rig-V-payload-Cerber-rad7CD11.tmp.exe Win32/Filecoder.Cerber.E 特洛伊木马通过删除清除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe (7B2B7BD690776565686AAD9757F184B43F0673AC). 03586ABEF0C6490AF0DD6D7BE01D1D3D51959C39 2017/1/6 15:29:28
2017/1/6 15:29:28 文件系统实时防护文件 Z:\TEMP\2017-01-05-3rd-run-pseudoDarkleech-Rig-V-flash-exploit.swf SWF/Exploit.ExKit.BGJ 特洛伊木马的变种已删除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe.
2017/1/6 15:29:27 文件系统实时防护文件 Z:\TEMP\2017-01-05-3rd-run-Cerber-decryption-instructions_WTAD_README_.hta Win32/Filecoder.Cerber 特洛伊木马通过删除清除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe (7B2B7BD690776565686AAD9757F184B43F0673AC). BA07B6E96F9021CA2EDD7B03922BA424E2F0F26B 2017/1/6 15:29:27
2017/1/6 15:29:27 文件系统实时防护文件 Z:\TEMP\2017-01-05-2nd-run-pseudoDarkleech-Rig-V-payload-Cerber-rad75AE1.tmp.exe Win32/Filecoder.Cerber.E 特洛伊木马通过删除清除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe (7B2B7BD690776565686AAD9757F184B43F0673AC). 4ADD86750C7B866D6DA487DE84816BDEE9A8B1CA 2017/1/6 15:29:26
2017/1/6 15:29:26 文件系统实时防护文件 Z:\TEMP\2017-01-05-2nd-run-pseudoDarkleech-Rig-V-flash-exploit.swf SWF/Exploit.ExKit.BGJ 特洛伊木马的变种已删除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe.
2017/1/6 15:29:26 文件系统实时防护文件 Z:\TEMP\2017-01-05-2nd-run-Cerber-decryption-instructions_VIMFE_README_.hta Win32/Filecoder.Cerber 特洛伊木马通过删除清除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe (7B2B7BD690776565686AAD9757F184B43F0673AC). BA07B6E96F9021CA2EDD7B03922BA424E2F0F26B 2017/1/6 15:29:25
2017/1/6 15:29:25 文件系统实时防护文件 Z:\TEMP\2017-01-05-1st-run-pseudoDarkleech-Rig-V-payload-Cerber-rad7D3BE.tmp.exe NSIS/Injector.PN 特洛伊木马通过删除清除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe.
2017/1/6 15:29:25 文件系统实时防护文件 Z:\TEMP\2017-01-05-1st-run-pseudoDarkleech-Rig-V-flash-exploit.swf SWF/Exploit.ExKit.BGJ 特洛伊木马的变种已删除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe.
2017/1/6 15:29:24 文件系统实时防护文件 Z:\TEMP\2017-01-05-1st-run-Cerber-decryption-instructions_TK1LXF_README_.hta Win32/Filecoder.Cerber 特洛伊木马通过删除清除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe (7B2B7BD690776565686AAD9757F184B43F0673AC). BA07B6E96F9021CA2EDD7B03922BA424E2F0F26B 2017/1/6 15:29:21[/mw_shl_code]

2017-01-05-Cerber-malspam-and-artifacts.zip [ALL]

[mw_shl_code=css,true]2017/1/6 15:32:59 文件系统实时防护文件 Z:\TEMP\Roaming.exE NSIS/Injector.PN 特洛伊木马通过删除清除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe.
2017/1/6 15:32:58 文件系统实时防护文件 Z:\TEMP\2017-01-05-Cerber-from-malspam_NQIB7_README_.hta Win32/Filecoder.Cerber 特洛伊木马通过删除清除 PC-X 在应用程序新建的文件上发生事件: D:\Program Files\7-Zip\7zG.exe (7B2B7BD690776565686AAD9757F184B43F0673AC). BA07B6E96F9021CA2EDD7B03922BA424E2F0F26B 2017/1/6 15:32:58[/mw_shl_code]

[mw_shl_code=css,true]正在扫描日志
病毒库版本: 14724 (20170106)
日期: 2017/1/6 时间: 15:33:11
已扫描的磁盘、文件夹和文件: Z:\TEMP\954461.zip;Z:\TEMP\7318620611899.zip;Z:\TEMP\402402188984588.zip
Z:\TEMP\954461.zip > ZIP > 24591_ZIP.zip > ZIP > 24591.doc - VBA/TrojanDownloader.Agent.CHO 特洛伊木马 - 扫描完成后再选择处理方式
Z:\TEMP\7318620611899.zip > ZIP > 12027_ZIP.zip > ZIP > 12027.doc - VBA/TrojanDownloader.Agent.CHO 特洛伊木马 - 扫描完成后再选择处理方式
Z:\TEMP\402402188984588.zip > ZIP > 31879_ZIP.zip > ZIP > 31879.doc - VBA/TrojanDownloader.Agent.CHO 特洛伊木马 - 扫描完成后再选择处理方式
Z:\TEMP\954461.zip > ZIP > 24591_ZIP.zip > ZIP > 24591.doc - VBA/TrojanDownloader.Agent.CHO 特洛伊木马 - 已删除
Z:\TEMP\7318620611899.zip > ZIP > 12027_ZIP.zip > ZIP > 12027.doc - VBA/TrojanDownloader.Agent.CHO 特洛伊木马 - 已删除
Z:\TEMP\402402188984588.zip > ZIP > 31879_ZIP.zip > ZIP > 31879.doc - VBA/TrojanDownloader.Agent.CHO 特洛伊木马 - 已删除
已扫描的对象数: 3
发现的威胁数: 3
已清除对象数: 3
完成时间: 15:33:27 总扫描时间: 16 秒 (00:00:16)[/mw_shl_code]

显示全部楼层 · 发表于 2017-1-6 19:36:50

一部分exe病毒，comodo全让过了后，拦截修改文件夹动作。其他的该弹得也弹了，感觉套路都差不多。

[病毒样本] Cerber X2

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块