後門，咖啡鐵殼沒報

显示全部楼层 · 发表于 2018-3-18 22:12:06

hXXp://205.209.177.18/mm/svchosx.exe

http://www.threatexpert.com/repo ... 8bb83665cdbba34c584

很多高危動作，請勿實機測試

显示全部楼层 · 发表于 2018-3-18 22:14:28

本帖最后由 aboringman 于 2018-3-18 22:16 编辑

ESET：block the website.

Blocked by internal blacklist

a variant of Win32/Packed.BlackMoon.A potentially unwanted application

程序被监控击杀

显示全部楼层 · 发表于 2018-3-18 22:18:08

网址被拉黑
卡巴斯基安全软件
拒绝访问
无法提供所请求的网址

网址:

http://205.209.177.18/mm/svchosx.exe
已被网页反病毒阻止

原因: 危险网址

检测方法: 数据库

如果您认为该网页被错误地阻止, 请单击此处。

样本启发报

显示全部楼层 · 发表于 2018-3-18 22:21:44

本帖最后由 2605276004x 于 2018-3-18 22:22 编辑

卡巴斯基拒绝访问
无法提供所请求的网址

网址:

http://205.209.177.18/mm/svchosx.exe
已被网页反病毒阻止

原因: 危险网址

检测方法: 数据库

显示全部楼层 · 发表于 2018-3-18 22:25:28

WD

VirTool:Win32/Injector

显示全部楼层 · 发表于 2018-3-18 22:26:26

360云杀

显示全部楼层 · 发表于 2018-3-18 22:26:56

COMODO miss
费尔智能杀毒 miss
X-Sec Antivirus miss
Virus Scanner miss

显示全部楼层 · 发表于 2018-3-18 23:12:54

云五分钟后拉黑不过沙盘跑起来杀了好多帆生物

显示全部楼层 · 发表于 2018-3-18 23:22:39

一个挖矿后门
挖矿IP：195.201.88.143:80

可执行衍生物：

挖矿程序：

剩下两个可能是用来远控的

C:\Users\alex\Desktop\svchosx.exe	访问内存	C:\Windows\System32\cmd.exe
2018-03-18 23:14:06	C:\Users\alex\Desktop\svchosx.exe	创建进程	C:\Windows\Fonts\system\csrss.exe
2018-03-18 23:13:59	C:\Users\alex\Desktop\svchosx.exe	创建进程	C:\Windows\SysWOW64\cacls.exe
2018-03-18 23:13:53	C:\Users\alex\Desktop\svchosx.exe	创建进程	C:\Windows\SysWOW64\cacls.exe
2018-03-18 23:13:44	C:\Users\alex\Desktop\svchosx.exe	创建进程	C:\Windows\SysWOW64\schtasks.exe
2018-03-18 23:13:25	C:\Users\alex\Desktop\svchosx.exe	修改文件	C:\360SANDBOX\SHADOW\Windows\Fonts\system\csrss.exe
2018-03-18 23:13:19	C:\Users\alex\Desktop\svchosx.exe	修改文件	C:\360SANDBOX\SHADOW\Users\alex\AppData\Local\Temp\Devicenoodles.sys
2018-03-18 23:13:13	C:\Users\alex\Desktop\svchosx.exe	修改注册表项	HKUS\360SandBox\S\Registry\Machine\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\WindowsApache
2018-03-18 23:13:08	C:\Users\alex\Desktop\svchosx.exe	创建进程	C:\Users\alex\AppData\Local\Temp\HipsTray.exe
2018-03-18 23:12:45	C:\Users\alex\Desktop\svchosx.exe	修改文件	C:\360SANDBOX\SHADOW\Users\alex\AppData\Local\Temp\HipsTray.exe
2018-03-18 23:12:19	C:\Users\alex\Desktop\svchosx.exe	修改文件	C:\360SANDBOX\SHADOW\Users\alex\Desktop\svchosx.exe
2018-03-18 23:12:19	C:\Users\alex\Desktop\svchosx.exe	访问COM接口	C:\Windows\System32\svchost.exe
2018-03-18 23:12:14	C:\Users\alex\Desktop\svchosx.exe	修改文件	C:\360SANDBOX\SHADOW\Users\alex\Desktop\svchosx.exe
2018-03-18 23:12:11	C:\Users\alex\Desktop\svchosx.exe	创建进程	C:\Users\alex\Desktop\svchosx.exe
2018-03-18 23:12:11	C:\Users\alex\Desktop\svchosx.exe	修改注册表项	HKUS\360SandBox\S\Registry\USER\S-1-5-21-4035797329-1013324386-3877975614-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
2018-03-18 23:12:09	C:\Users\alex\Desktop\svchosx.exe	创建进程	C:\Users\alex\Desktop\svchosx.exe
2018-03-18 23:12:06	C:\Users\alex\Desktop\svchosx.exe	修改注册表项	HKLM\SYSTEM\ControlSet???\Services\DRSrvices
2018-03-18 23:12:02	C:\Users\alex\Desktop\svchosx.exe	修改注册表项	HKUS\360SandBox\S\Registry\USER\S-1-5-21-4035797329-1013324386-3877975614-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
2018-03-18 23:12:02	C:\Users\alex\Desktop\svchosx.exe	修改文件	C:\360SANDBOX\SHADOW\Users\alex\Desktop\svchosx.exe
2018-03-18 23:12:02	C:\Users\alex\Desktop\svchosx.exe	DNS/RPC客户端访问
2018-03-18 23:12:00	C:\Users\alex\Desktop\svchosx.exe	修改文件	C:\360SANDBOX\SHADOW\Users\alex\Desktop\svchosx.exe
2018-03-18 23:11:59	C:\Users\alex\Desktop\svchosx.exe	创建进程	C:\Users\alex\Desktop\svchosx.exe
2018-03-18 23:11:57	C:\Users\alex\Desktop\svchosx.exe	修改注册表项	HKUS\360SandBox\S\Registry\USER\S-1-5-21-4035797329-1013324386-3877975614-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
2018-03-18 23:11:55	C:\Users\alex\Desktop\svchosx.exe	创建进程	C:\Users\alex\Desktop\svchosx.exe
2018-03-18 23:11:52	C:\Users\alex\Desktop\svchosx.exe	修改文件	C:\360SANDBOX\SHADOW\Users\alex\AppData\Roaming\winlogon.exe
2018-03-18 23:11:50	C:\Users\alex\Desktop\svchosx.exe	修改注册表项	HKUS\360SandBox\S\Registry\USER\S-1-5-21-4035797329-1013324386-3877975614-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
2018-03-18 23:11:48	C:\Users\alex\Desktop\svchosx.exe	修改注册表项	HKLM\SYSTEM\ControlSet???\Services\DRSrvices
2018-03-18 23:11:42	C:\Users\alex\Desktop\svchosx.exe	修改文件	C:\360SANDBOX\SHADOW\Users\alex\Desktop\svchosx.exe
2018-03-18 23:11:39	C:\Users\alex\Desktop\svchosx.exe	创建进程	C:\Users\alex\Desktop\svchosx.exe
2018-03-18 23:11:37	C:\Users\alex\Desktop\svchosx.exe	修改注册表项	HKUS\360SandBox\S\Registry\USER\S-1-5-21-4035797329-1013324386-3877975614-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
2018-03-18 23:11:33	C:\Users\alex\Desktop\svchosx.exe	修改文件	C:\360SANDBOX\SHADOW\Users\alex\AppData\Roaming\winlogon.exe
2018-03-18 23:11:31	C:\Users\alex\Desktop\svchosx.exe	修改注册表项	HKLM\SYSTEM\ControlSet???\Services\DRSrvices
2018-03-18 23:11:26	C:\Users\alex\Desktop\svchosx.exe	修改注册表项	HKUS\360SandBox\S\Registry\USER\S-1-5-21-4035797329-1013324386-3877975614-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
2018-03-18 23:11:23	C:\Users\alex\Desktop\svchosx.exe	创建进程	C:\Users\alex\Desktop\svchosx.exe
2018-03-18 23:11:13	C:\Users\alex\Desktop\svchosx.exe	修改文件	C:\360SANDBOX\SHADOW\Users\alex\AppData\Roaming\winlogon.exe
2018-03-18 23:11:06	C:\Users\alex\Desktop\svchosx.exe	修改注册表项	HKLM\SYSTEM\ControlSet???\Services\DRSrvices
2018-03-18 23:10:58	C:\Users\alex\Desktop\svchosx.exe	创建进程	C:\Users\alex\Desktop\svchosx.exe
2018-03-18 23:10:44	C:\Users\alex\Desktop\svchosx.exe	修改文件	C:\360SANDBOX\SHADOW\Users\alex\AppData\Roaming\winlogon.exe
2018-03-18 23:10:36	C:\Users\alex\Desktop\svchosx.exe	创建进程	C:\Users\alex\Desktop\svchosx.exe

显示全部楼层 · 发表于 2018-3-18 23:28:19

卡巴拒绝访问

[病毒样本] 後門，咖啡鐵殼沒報

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源