新版硬盘锁[持续更新]

显示全部楼层 · 发表于 2018-2-16 23:15:27

Jirehlov1234 发表于 2018-2-16 22:52
这个报法怎么看出是机器学习的?

https://cloudblogs.microsoft.com/microsoftsecure/2018/02/14/how-artificial-intelligence-stopped-an-emotet-outbreak/

The cloud protection service replied to signals instructing the Windows Defender AV client to block the attack using two of our ML-based threat names, Trojan:Win32/Fuerboos.C!cl and Trojan:Win32/Fuery.A!cl.

前两天看到的微软解说实时云端机器学习模型，内容提到说这两个报法是基于ML的威胁名称，Trojan:Win32/Fuerboos.C!cl 和 Trojan:Win32/Fuery.A!cl

显示全部楼层 · 发表于 2018-2-17 20:08:34

还是卡巴厉害哈哈

显示全部楼层 · 发表于 2018-2-18 00:54:38

刻舟求剑发表于 2018-2-16 20:02
趋势科技的回滚功能好像很少触发，我在虚拟机测试样本时，只遇到过一次。感觉趋势科技的回滚功能不怎么强 ...

趋势的观念还是尽量能把拦截点提前就提前（三云联动云拉黑）。趋势的反勒索设置是很简单粗暴的。

显示全部楼层 · 发表于 2018-2-18 10:03:06

基本信息

文件名称：

游戏外{过}{滤}挂.exe

MD5：

0eb50b7162903065e42bf5bd7e1325be

文件类型：

EXE

上传时间：

2018-02-18 09:58:37

出品公司：

N/A

版本：

N/A

壳或编译器信息：

PACKER:ASPack 2.12 -> Alexey Solodovnikov

子文件信息：

aspack22_3d99e173dumpFile / d36c746f3d9fb9217f4c3e3aec8fb321 / EXE

关键行为

行为描述：	设置特殊文件夹属性
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5 C:\Documents and Settings\Administrator\Local Settings\History C:\Documents and Settings\Administrator\Local Settings\History\History.IE5 C:\Documents and Settings\Administrator\Cookies

进程行为

行为描述：

创建本地线程

详情信息：

TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2784, ThreadID = 2796, StartAddress = 77DC845A, Parameter = 00000000

TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2784, ThreadID = 2800, StartAddress = 7C947EBB, Parameter = 00000000

TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2784, ThreadID = 2804, StartAddress = 7C930230, Parameter = 00000000

文件行为

行为描述：	创建文件
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\baidu_com[1]
行为描述：	设置特殊文件夹属性
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5 C:\Documents and Settings\Administrator\Local Settings\History C:\Documents and Settings\Administrator\Local Settings\History\History.IE5 C:\Documents and Settings\Administrator\Cookies
行为描述：	删除文件
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\baidu_com[1]
行为描述：	查找文件
详情信息：	FileName = C:\Documents and Settings FileName = C:\Documents and Settings\Administrator FileName = C:\Documents and Settings\Administrator\Local Settings FileName = C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\.pbk FileName = C:\WINDOWS\system32\Ras\.pbk FileName = C:\Documents and Settings\Administrator\Application Data\Microsoft\Network\Connections\Pbk\*.pbk

网络行为

行为描述：	连接指定站点
详情信息：	InternetConnectA: ServerName = ww****om, PORT = 80, UserName = , Password = , hSession = 0x00cc0004, hConnect = 0x00cc0008, Flags = 0x00000000
行为描述：	打开HTTP连接
详情信息：	InternetOpenA: UserAgent: Internal, hSession = 0x00cc0004 InternetOpenA: UserAgent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1), hSession = 0x00cc0004
行为描述：	建立到一个指定的套接字连接
详情信息：	URL: ww**om, IP: .133.40.:80, SOCKET = 0x000001f0 URL: wwom, IP: .133.40.**:80, SOCKET = 0x0000023c
行为描述：	读取网络文件
详情信息：	hFile = 0x00cc000c, BytesToRead =1024, BytesRead = 1024.
行为描述：	发送HTTP包
详情信息：	GET / HTTP/1.1 Accept: / Referer: http://www.baidu.com/ Accept-Language: zh-cn User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1) Host: ww****om Cache-Control: no-cache
行为描述：	打开HTTP请求
详情信息：	HttpOpenRequestA: ww****om:80/, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer: , Flags = 0x80004010
行为描述：	按名称获取主机地址
详情信息：	GetAddrInfoW: ww****om

注册表行为

行为描述：	修改注册表
详情信息：	\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
行为描述：	删除注册表键值
详情信息：	\REGISTRY\USER\S-\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer \REGISTRY\USER\S-\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride \REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL

其他行为

行为描述：	打开互斥体
详情信息：	RasPbFile Local\_!MSFTHISTORY!_ Local\c:!documents and settings!administrator!local settings!temporary internet files!content.ie5! Local\c:!documents and settings!administrator!cookies! Local\c:!documents and settings!administrator!local settings!history!history.ie5! Local\WininetStartupMutex Local\WininetConnectionMutex Local\WininetProxyRegistryMutex Local\!IETld!Mutex
行为描述：	创建互斥体
详情信息：	RasPbFile Local\ZonesCounterMutex Local\ZoneAttributeCacheCounterMutex Local\ZonesCacheCounterMutex Local\ZonesLockedCacheCounterMutex CTF.LBES.MutexDefaultS-* CTF.Compart.MutexDefaultS-* CTF.Asm.MutexDefaultS-* CTF.Layouts.MutexDefaultS-* CTF.TMD.MutexDefaultS-*
行为描述：	创建事件对象
详情信息：	EventName = DINPUTWINMM EventName = Global\userenv: User Profile setup event
行为描述：	打开事件
详情信息：	HookSwitchHookEnabledEvent \SECURITY\LSA_AUTHENTICATION_INITIALIZED Global\SvcctrlStartEvent_A3752DX \INSTALLATION_SECURITY_HOLD

进程树

[url=]****.exe (PID: 0x00000ae0)[/url]

显示全部楼层 · 发表于 2018-2-18 17:47:01

TheYuCheng 发表于 2018-2-15 22:06
新版本发布：https://pan.lanzou.com/i0ilfed
修复几个小BUG

腾讯下载 KILL

显示全部楼层 · 发表于 2018-2-18 19:49:10

哈勃分析:https://habo.qq.com/file/showdetail?pk=ADMGbl1rB28IOFs4
360未报毒

显示全部楼层 · 发表于 2018-2-18 20:47:38

本帖最后由 135123 于 2018-2-18 20:57 编辑

135123 发表于 2018-2-18 19:49
哈勃分析:https://habo.qq.com/file/showdetail?pk=ADMGbl1rB28IOFs4
360未报毒

virustotal:https://www.virustotal.com/#/file/f332f727a0b4b7a5ff0f36c395249bdf59e159a0a698ec936d3aef267667671f/detection
哈勃:https://habo.qq.com/file/showdetail?pk=ADMGbl1rB28IP1s69
virscan:http://r.virscan.org/report/b83286a6a509d7d98512b560e29e3609
360未报毒

[病毒样本] 新版硬盘锁[持续更新]