【掛馬樣本】1.exe VT(9/56)

allinwonderi

File path Scanning result Virus name Cleaning action
C:\Users\ASUS\Desktop\Malware@E72984\1.exe Infected! Generic16_c.CAMB (Argon) Quarantined

fireherman

流水寒丶 发表于 2017-1-7 01:59
ESET显示压缩包已损坏，无法解压

ESET确实显示损坏。

页面下载，blocked

[mw_shl_code=css,true]2017/1/7 15:59:01        http://i01001.dgn.vn/1.exe        被内部黑名单阻止        C:\Program Files\Mozilla Firefox\firefox.exe        PC\n        103.243.107.120        [/mw_shl_code]

引领五基生活

ccav miss 双击入沙

Vivaldi拦截

Microsoftheihei

编辑掉

bbszy

青衣染雪 发表于 2017-1-7 08:00
fs

哈 你也玩冒险岛？

青衣染雪

bbszy 发表于 2017-1-8 15:43
哈 你也玩冒险岛？

老玩家了

bbszy

青衣染雪 发表于 2017-1-8 16:10
老玩家了

都是老玩家。。。04年就开始玩了。

不过我都退岛大半年了。。现在基本逛逛岛吧和挂党吧

Virus4

能力一般，水平有限。。配合车长活动做个Cerber的简单的行为分析。。（十分简单。。请见谅。。）
文件行为
在C:\Users\Virus\AppData\Local\Temp\目录下创建大量缓存文件以及病毒所需要的DLL文件
[mw_shl_code=css,true]
C:\Users\Virus\AppData\Local\Temp\nst4FB7.tmp
C:\Users\Virus\AppData\Local\Temp\captcha.php21593751.png
C:\Users\Virus\AppData\Local\Temp\qGFCIdUSos
C:\Users\Virus\AppData\Local\Temp\css_GxPFhGvRBkQlnZfsZxgSl6R1z7oyqJanDCbGB_4fvTI.css
C:\Users\Virus\AppData\Local\Temp\nsz5027.tmp
C:\Users\Virus\AppData\Local\Temp\chills.x
C:\Users\Virus\AppData\Local\Temp\nsz5027.tmp
C:\Users\Virus\AppData\Local\Temp\nsz5027.tmp\System.dll
C:\Users\Virus\AppData\Local\Temp\7385d1c2\4c34.tmp
C:\Users\Virus\AppData\Local\Temp\tmpAF9.tmp
C:\Users\Virus\AppData\Local\Temp\tmpAF9.tmp
C:\Users\Virus\Desktop\_0XTF_README_.hta                                 //勒索页面
C:\Users\Virus\Desktop\_0XTF_README_.jpg                                       //病毒所用壁纸文件
[/mw_shl_code]

[mw_shl_code=css,true]C:\Users\Virus\AppData\Roaming\Microsoft\Speech\Files\UserLexicons\SP_8A742B2A0F6548CEBC101A1996C1BB43.dat   //应该是勒索执行后背景音效指令文件[/mw_shl_code]
注册表行为


该处对所需语音信息进行设置，指向病毒所释放文件


设定播放设备





进程行为

               

利用mshta.exe执行 hta文件以及cmd.exe关闭自身进程。

网络行为


勒索过程


还有一个特别好玩的。。利用Ultraedit打开病毒释放的qGFCIdUSos文件。。里面有一个推特地址。。



目前勒索的小动作越来越少。。原来还删除个什么卷影备份之类的。或者注入系统进程。现在释放点文件就直接加密了。
所以单纯依赖手动单步HIPS防护的方法只能是利用FD对需要保护的文件目录进行保护。。很麻烦的方法。
一些杀软的智能主防可以起到很好的防护效果比如BD 的ATC还有趋势对这些勒索有很好的防护效果。

释放的文件都没有怎么研究。。。所以只能看到一些皮毛。。

小白一枚。欢迎指正和指点。。

卫队神宠收尾。。

轩夏

流水寒丶 发表于 2017-1-7 01:59
ESET显示压缩包已损坏，无法解压

eset
name="C:\Users\MSI\Desktop\Malware@E72984\1.exe", threat="NSIS/Injector.PP trojan", action="", info=""
name="C:\Users\MSI\Desktop\Malware@E72984\1.exe » NSIS » Script.nsi", threat="NSIS/Injector.PP trojan", action="", info=""
name="C:\Users\MSI\Desktop\Malware@E72984\1.exe » NSIS » uninstall.exe", threat="", action="", info="archive damaged - the file could not be extracted."

540923555

WD报dynamer