Locky&Kovter(17.01.31)

RUAOT

avast17直接把地址拉黑了，下载都下载不了。

欧阳宣

RUAOT 发表于 2017-2-1 14:47
avast17直接把地址拉黑了，下载都下载不了。

你随便去卡饭任意一个附件链接点击下载，avast都是拉黑的

加密的压缩包杀软无法扫描，因此只是拉黑了卡饭服务器，而不是检测了病毒本身

ELOHIM

\kovter.exe SCEP提示为：Trojan: Win32/Kovter.M
\locky.exe  SCEP 提示为：Ransom: Win32/Genasom

ELOHIM

B100D1E55 发表于 2017-2-1 03:11
今天才发现Kovter家族添加的注册表项前放了一个NULL让regedit读不出来跟那个啥有点像不是

HKEY_C ...

请教一下，NULL指是：xe6\x85\xad 这个吗？？
开机启动项里面显示的是什么？

fireherman

ELOHIM 发表于 2017-2-1 15:27
请教一下，NULL指是：xe6\x85\xad 这个吗？？
开机启动项里面显示的是什么？

应该是这个：\Run\\x00qhydohg\xe6\x85\xad

插入一个“空项”，NULL/NUL 意味空串，如DOS命令：

echo 这行不会显示出来 > NUL
echo 这行会写入Ex_001.txt文件 > D:\Ex_001.txt

275751198

萧萧先生 发表于 2017-2-1 14:30
来个360和国内Q管的

虽然觉得10楼这是水经验，但还是回复一下，根据VT扫描结果
第一个
Qihoo-360        HEUR/QVM20.1.E083.Malware.Gen        20170201
Tencent        miss         20170201
第二个
360 miss tencent miss

大明湖畔的乾隆

275751198 发表于 2017-2-1 18:14
虽然觉得10楼这是水经验，但还是回复一下，根据VT扫描结果
第一个
Qihoo-360        HEUR/QVM20.1.E083.Malwar ...

问个问题，为什么我在virscan上面扫描和本地卫士扫描结果不一样，同一程序，virscan上面360报毒 ，本地的360杀毒和卫士都不报

vm001

萧萧先生 发表于 2017-2-1 18:47
问个问题，为什么我在virscan上面扫描和本地卫士扫描结果不一样，同一程序，virscan上面360报毒 ，本地的 ...

在线引擎那个比较敏感，说白了就是宁错杀不放过，只是首次捕获的首次扫描，并未真正入库。。
不要相信那个。。而本地基本都是入库的

B100D1E55

ELOHIM 发表于 2017-2-1 15:27
请教一下，NULL指是：xe6\x85\xad 这个吗？？
开机启动项里面显示的是什么？

是\x00，\x转义为16进制

参考：http://gleeda.blogspot.ca/2016/0 ... ting-with-null.html

轩夏

MSE 断网
kovter.exe
Infected: Trojan:Win32/Starter.P
locky.exe
Infected: Ransom:Win32/Genasom