【掛馬樣本】update.exe VT(11/58)

显示全部楼层 · 发表于 2017-2-22 23:57:07

本帖最后由 Agu 于 2017-2-23 23:34 编辑

掛馬網址：uuoew.club/file/update.exe

VT(11/58)：https://www.virustotal.com/en/fi ... nalysis/1487778737/

Payload行為分析：
https://www.hybrid-analysis.com/ ... 4?environmentId=100

樣本載點(SHA256前六碼9AF55A，密碼infected)：
百度雲盤-http://pan.baidu.com/s/1miHNHZ6 (提取碼：y9jv)

測試：
Immunet - 24小時後偵測

Webroot - Miss
Panda - Miss

显示全部楼层 · 发表于 2017-2-23 00:08:52

sep14 kill

显示全部楼层 · 发表于 2017-2-23 00:46:52

[mw_shl_code=css,true]
Type: File
Source: C:\Users\Ivan\Downloads\update.exe
Status: Infected
Detection: TR/Dropper.9af55a (Cloud)
Date/Time: 23/2/2017, 0:36[/mw_shl_code]

显示全部楼层 · 发表于 2017-2-23 00:58:30

本帖最后由 linzh 于 2017-2-23 01:07 编辑

ESET miss

FS双击没反应。。。

显示全部楼层 · 发表于 2017-2-23 09:15:17

火绒

[mw_shl_code=css,true]病毒库：2017/02/22 16:56
开始时间：2017/02/23 09:14
总计用时：00:00:04
扫描对象：15个
发现威胁：1个
已处理威胁：1个
发现系统修复项：0个
处理系统修复项：0个

病毒详情

威胁路径：F:\浏览器下载\Malware@9AF55A\update.exe, 病毒名：Ransom/Cerber.f, 病毒ID：[1be9edd09119bdf5], 处理结果：已处理
[/mw_shl_code]

显示全部楼层 · 发表于 2017-2-23 10:48:02

Filename: update.exe
Threat name: Ransom.CerberFull Path: d:\360安全浏览器下载\malware%409af55a\update.exe

____________________________

____________________________

On computers as of
2017/2/23 at 10:45:32

Last Used
2017/2/23 at 10:47:32

Startup Item
No

Launched
No

Threat type: Virus. Programs that infect other programs, files, or areas of a computer by inserting themselves or attaching themselves to that medium.

____________________________

update.exe Threat name: Ransom.Cerber
Locate

Very Few Users
Fewer than 5 users in the Norton Community have used this file.

Very New
This file was released less than 1 week ago.

High
This file risk is high.

____________________________

Source: External Media

Source File:
update.exe

____________________________

File Actions

File: d:\360安全浏览器下载\malware%409af55a\ update.exe Removed
____________________________

File Thumbprint - SHA:
9af55a166b578899b68a1ca97d7dbc11689a607183b8102af71cae4b2d9d9ba4
File Thumbprint - MD5:
d894597c7be7ff560727c7451140cc87

显示全部楼层 · 发表于 2017-2-23 12:44:40

本帖最后由霄栋于 2017-2-23 15:21 编辑

KIS2017：拦截访问
BDTS2017：拦截访问

显示全部楼层 · 发表于 2017-2-23 14:07:04

MSE 断网 miss

显示全部楼层 · 发表于 2017-2-23 14:58:00

trendmicro 双击 miss

显示全部楼层 · 发表于 2017-2-23 18:05:25

本帖最后由 68221281 于 2017-2-23 18:14 编辑

有意思，毛豆hips拦截操纵explorer.exe，其它动作放行。运行过程中，触发了EMET，然后MSE报毒。。。估计是检测到了注入资源管理器的动作，cerber就是霸气。

[病毒样本] 【掛馬樣本】update.exe VT(11/58)

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源