Ransom #3 (17.01.26)

显示全部楼层 · 发表于 2017-1-27 00:25:35

本帖最后由 petr0vic 于 2017-1-27 00:30 编辑

infected

显示全部楼层 · 发表于 2017-1-27 02:46:52

有缘 2号样本我今天也找到了一样的。。。收集在样本测试包里了

简单跑一下三号吧
[mw_shl_code=css,true]02:44:28(1)：(自动允许)创建文件目录：C:\Users\zjl\AppData\Local\Temp\

02:44:28(2)：(自动允许)删除文件：C:\Users\zjl\AppData\Local\Temp\nsiFCD4.tmp

02:44:28(3)：(自动允许)读取文件：C:\Users\zjl\Desktop\malwr\analysis\File_safe\cerber.exe    访问权限：-2147483648

02:44:28(4)：(自动允许)创建文件目录：C:\Users

02:44:28(5)：(自动允许)创建文件目录：C:\Users\zjl

02:44:28(6)：(自动允许)创建文件目录：C:\Users\zjl\AppData

02:44:28(7)：(安全环境)创建文件目录：C:\Users\zjl\AppData\Roaming

02:44:28(8)：(安全环境)创建文件：C:\Users\zjl\AppData\Roaming\Stripe.tC    访问权限：1073741824

02:44:28(9)：(安全环境)创建文件：C:\Users\zjl\AppData\Roaming\blindfolds.dll    访问权限：1073741824

02:44:28(10)：(自动允许)删除文件：C:\Users\zjl\AppData\Local\Temp\nsiFCD5.tmp

02:44:28(11)：(自动允许)创建文件目录：C:\Users

02:44:28(12)：(自动允许)创建文件目录：C:\Users\zjl

02:44:28(13)：(自动允许)创建文件目录：C:\Users\zjl\AppData

02:44:28(14)：(自动允许)创建文件目录：C:\Users\zjl\AppData\Local

02:44:28(15)：(自动允许)创建文件目录：C:\Users\zjl\AppData\Local\Temp

02:44:28(16)：(自动允许)创建文件目录：C:\Users\zjl\AppData\Local\Temp\nsiFCD5.tmp

02:44:28(17)：(自动允许)创建文件：C:\Users\zjl\AppData\Local\Temp\nsiFCD5.tmp\System.dll

02:44:31(18)：(自动允许)读取文件：Stripe.tC    访问权限：-2147483648

02:44:34(19)：(自动允许)读取文件：C:\Program Files (x86)\Tencent\QQPinyin\5.4.3311.400\ExceptionBinary.bin    访问权限：-2147483648

02:44:34(20)：(自动允许)读取文件：C:\Program Files (x86)\Tencent\QQPinyin\5.4.3311.400\speclist.ini    访问权限：-2147483648

02:44:34(21)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:34(22)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:34(23)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\5.4.3311.400local.stat    访问权限：-2147483648

02:44:34(24)：(阻止)删除文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\CurrentMiniSkin.skn

02:44:34(25)：(自动允许)写注册表值：SkinGUIDMini

02:44:34(26)：(自动允许)写注册表值：SkinFileNameMini

02:44:34(27)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:34(28)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:34(29)：(阻止)删除文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\CurrentMiniSkin.skn

02:44:34(30)：(自动允许)写注册表值：SkinGUIDMini

02:44:34(31)：(自动允许)写注册表值：SkinFileNameMini

02:44:34(32)：(阻止)运行外部程序地址：C:\Program Files (x86)\Tencent\QQPinyin\5.4.3311.400\QQPYService.exe    命令行：qqpinyin.ime

02:44:34(33)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:34(34)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:34(35)：(阻止)删除文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\CurrentMiniSkin.skn

02:44:34(36)：(自动允许)写注册表值：SkinGUIDMini

02:44:34(37)：(自动允许)写注册表值：SkinFileNameMini

02:44:34(38)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:34(39)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:34(40)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:34(41)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:34(42)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:34(43)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:34(44)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\FramePic\QQFace\userqq40b4c5fc83d8f5448889b8c38ec05d5c73.jpg    访问权限：-2147483648

02:44:34(45)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:34(46)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:34(47)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\FramePic\QQFace\userqq40b4c5fc83d8f5448889b8c38ec05d5c73.jpg    访问权限：-2147483648

02:44:35(48)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:35(49)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:35(50)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\FramePic\QQFace\userqq40b4c5fc83d8f5448889b8c38ec05d5c73.jpg    访问权限：-2147483648

02:44:36(51)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:38(52)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:40(53)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:41(54)：(阻止)删除文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\CurrentMiniSkin.skn

02:44:41(55)：(自动允许)写注册表值：SkinGUIDMini

02:44:41(56)：(自动允许)写注册表值：SkinFileNameMini

02:44:41(57)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:41(58)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:41(59)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:41(60)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:41(61)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\FramePic\QQFace\userqq40b4c5fc83d8f5448889b8c38ec05d5c73.jpg    访问权限：-2147483648

02:44:41(62)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:41(63)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:41(64)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\FramePic\QQFace\userqq40b4c5fc83d8f5448889b8c38ec05d5c73.jpg    访问权限：-2147483648

02:44:42(65)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:44(66)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:46(67)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:48(68)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:50(69)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:52(70)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:54(71)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:56(72)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:58(73)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:58(74)：(阻止)删除文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\CurrentMiniSkin.skn

02:44:58(75)：(自动允许)写注册表值：SkinGUIDMini

02:44:58(76)：(自动允许)写注册表值：SkinFileNameMini

02:44:58(77)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:58(78)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:58(79)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:58(80)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:44:58(81)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\FramePic\QQFace\userqq40b4c5fc83d8f5448889b8c38ec05d5c73.jpg    访问权限：-2147483648

02:45:00(82)：(阻止)删除文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\CurrentMiniSkin.skn

02:45:00(83)：(自动允许)写注册表值：SkinGUIDMini

02:45:00(84)：(自动允许)写注册表值：SkinFileNameMini

02:45:00(85)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:45:00(86)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:45:00(87)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:45:00(88)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:45:00(89)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:45:00(90)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\FramePic\QQFace\userqq40b4c5fc83d8f5448889b8c38ec05d5c73.jpg    访问权限：-2147483648

02:45:02(91)：(阻止)删除文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\CurrentMiniSkin.skn

02:45:02(92)：(自动允许)写注册表值：SkinGUIDMini

02:45:02(93)：(自动允许)写注册表值：SkinFileNameMini

02:45:02(94)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:45:02(95)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\openacc3.dat    访问权限：-2147483648

02:45:02(96)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\5.4.3311.400local.stat    访问权限：-2147483648

02:45:02(97)：(安全环境)创建文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\5.4.3311.400local.stat    访问权限：1073741824

02:45:02(98)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\5.4.3311.400local.stat    访问权限：-2147483648

02:45:02(99)：(安全环境)创建文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\5.4.3311.400local.stat    访问权限：1073741824

02:45:05(100)：(自动允许)读取文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\5.4.3311.400local.stat    访问权限：-2147483648

02:45:05(101)：(安全环境)创建文件：C:\Users\zjl\AppData\Roaming\Tencent\QQPinyin\5.4.3311.400local.stat    访问权限：1073741824

02:45:05(102)：(阻止)设置文件属性：C:\Users\zjl\AppData\Local\Temp\nsiFCD5.tmp\System.dll

02:45:05(103)：(自动允许)删除文件：C:\Users\zjl\AppData\Local\Temp\nsiFCD5.tmp\System.dll

02:45:05(104)：(阻止)设置文件属性：C:\Users\zjl\AppData\Local\Temp\nsiFCD5.tmp\

02:45:05(105)：(自动允许)删除文件目录：C:\Users\zjl\AppData\Local\Temp\nsiFCD5.tmp\

[/mw_shl_code]

这个和之前遇到的cerber不太一样双击之后出现一个安装包的窗口

显示全部楼层 · 发表于 2017-1-27 03:45:07

ESET kill2X miss1
[mw_shl_code=css,true]时间;扫描程序;对象类型;对象;威胁;操作;用户;信息;哈希;此处首次所见
2017/1/26 14:44:21;文件系统实时防护;文件;C:\Users\linzh\Desktop\3\xmas.hta;Win32/Filecoder.Xmas 特洛伊木马;已删除;LINZH-NOTEBOOK\linzh;在应用程序新建的文件上发生事件: C:\Program Files\WinRAR\WinRAR.exe (ADD0B2FF92CE12DDBD58324FEBD3B09F43FA1A01).;1CCD213F7925CA05AE299444F50ADC75EA6B0F6C;2017/1/26 14:44:20
2017/1/26 14:44:21;文件系统实时防护;文件;C:\Users\linzh\Desktop\3\sage.exe;Suspicious Object;已删除;LINZH-NOTEBOOK\linzh;在应用程序新建的文件上发生事件: C:\Program Files\WinRAR\WinRAR.exe (ADD0B2FF92CE12DDBD58324FEBD3B09F43FA1A01).;42BC66EBAD7A9C038678FFEA6676D33D99BDAD3B;2017/1/26 14:44:20
[/mw_shl_code]

显示全部楼层 · 发表于 2017-1-27 04:48:02

avast 1x

剩一个hta

显示全部楼层 · 发表于 2017-1-27 08:11:37

卡巴杀2个，剩余一个hta

显示全部楼层 · 发表于 2017-1-27 10:10:55

显示全部楼层 · 发表于 2017-1-27 10:41:55

360杀两个，剩余hta
360杀毒实时防护日志

时间                   防护说明                                                                处理结果                                                       文件
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2017-01-27 07:48:21    恶意软件(HEUR/QVM42.1.C470.Malware.Gen)MD5:29b6180ed6dc37e04dfdc9502e6af79b已删除此文件，如果您发现误删，可从隔离区恢复此文件。       d:\360安全浏览器下载\3\cerber.exe
2017-01-27 07:48:21    恶意软件(QVM07.1.0000.Malware.Gen)MD5:9d84cfd8ae3188a0ac1dc42f6e393b94 已删除此文件，如果您发现误删，可从隔离区恢复此文件。       d:\360安全浏览器下载\3\sage.exe

显示全部楼层 · 发表于 2017-1-27 12:18:02

[mw_shl_code=css,true]27/1/2017, 12:16:15 PM [Real-Time Protection] Malware found
The pattern of 'TR/Milicry.vbzgk [trojan]'
detected in file 'C:\Users\Ivan\Downloads\3\sage.exe'.

27/1/2017, 12:16:15 PM [Real-Time Protection] Malware found
The pattern of 'TR/Crypt.Xpack.utkxv [trojan]'
detected in file 'C:\Users\Ivan\Downloads\3\cerber.exe'.[/mw_shl_code]

显示全部楼层 · 发表于 2017-1-27 12:53:09

idp拦截2个

显示全部楼层 · 发表于 2017-1-27 13:31:07

VIPRE:
监控杀sage.exe
双击,AP拦截cerber.exe
hta文件miss

[病毒样本] Ransom #3 (17.01.26)

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块