【掛馬樣本】wodse.exe VT(7/56)

显示全部楼层 · 发表于 2017-2-2 23:04:08

掛馬網址：149.56.65.124/~pioneerf/hompc/wodse.exe

VT(7/56)：https://www.virustotal.com/en/fi ... nalysis/1486047561/

Payload行為分析：
https://www.hybrid-analysis.com/ ... 4?environmentId=100

樣本載點(SHA256前六碼82D473，密碼infected)：
百度雲盤-http://pan.baidu.com/s/1jIa7paA (提取碼：un2v)

測試：
Webroot - Miss
Zemana - Trojan:Win32/Nevoros.B!Eelr

显示全部楼层 · 发表于 2017-2-2 23:08:59

360扫描未知

显示全部楼层 · 发表于 2017-2-2 23:18:43

The pattern of 'TR/Dropper.MSIL.pwauw [trojan]'

显示全部楼层 · 发表于 2017-2-2 23:34:40

拦截后就退出了

显示全部楼层 · 发表于 2017-2-2 23:52:33

eav4.2解压杀

显示全部楼层 · 发表于 2017-2-3 01:49:45

@B100D1E55 最近的勒索基本都是这种方式

显示全部楼层 · 发表于 2017-2-3 04:08:54

ESET杀

显示全部楼层 · 发表于 2017-2-3 06:57:21

学雷锋做人发表于 2017-2-3 01:49
@B100D1E55 最近的勒索基本都是这种方式

为什么调用cmd启动而不是用system call？

显示全部楼层 · 发表于 2017-2-3 06:57:55

学雷锋做人发表于 2017-2-3 01:49
@B100D1E55 最近的勒索基本都是这种方式

调用cmd启动而不是用system call是为了绕过某些检测么

显示全部楼层 · 发表于 2017-2-3 08:26:36

本帖最后由学雷锋做人于 2017-2-3 08:29 编辑

B100D1E55 发表于 2017-2-3 06:57
为什么调用cmd启动而不是用system call？

这并不是调用CMD...，就是直接创建子进程，不是说看到命令行就是调用CMD，命令行是创建进程命令里所提供的一个参数，也就是CmdLine参数；创建子进程后再跨进程修改，所以父进程本身不参与加密文件，由子进程完成，作者不会无缘无故多出这一个步骤，当然是为了饶过某些机制

[病毒样本] 【掛馬樣本】wodse.exe VT(7/56)