26最新锁机样本，作者好大的口气

Jerry.Lin

1. Website blocked
   
2. The web page is on the list of websites with potentially dangerous content.
   
3. 
   
4. Access to it has been blocked.

复制代码

fuzhk

360已拉黑

dongwenqi

卡巴云拉黑

左手

1. 2018/8/24 星期五 20:44:23    创建文件 风险提示:低风险    允许
   
2. 进程: c:\users\administrator\desktop\蜗牛\蜗牛.exe
   
3. 目标: C:\Users\Administrator\Desktop\蜗牛透视自瞄2.0.exe
   
4. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*
   
5. 
   
6. 2018/8/24 星期五 20:44:30    创建新进程 风险提示:未知    允许
   
7. 进程: c:\users\administrator\desktop\蜗牛\蜗牛.exe
   
8. 目标: c:\windows\system32\attrib.exe
   
9. 命令行: attrib C:\Users\Administrator\Desktop\蜗牛透视自瞄2.0.exe +s +h
   
10. 规则: [应用程序]?* -> [子应用程序]c:\windows\system32\attrib.exe
    
11. 
    
12. 2018/8/24 星期五 20:44:36    设置文件隐藏属性 风险提示:敏感    允许
    
13. 进程: c:\windows\system32\attrib.exe
    
14. 目标: C:\Users\Administrator\Desktop\蜗牛透视自瞄2.0.exe
    
15. 规则: [应用程序]c:\windows\* -> [文件组]《询问》f060_桌面
    
16. 
    
17. 2018/8/24 星期五 20:44:36    修改注册表值 风险提示:敏感    阻止
    
18. 进程: c:\users\administrator\desktop\蜗牛透视自瞄2.0.exe
    
19. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
    
20. 值: 0x00000000(0)
    
21. 规则: [应用程序]?:\*\*\*\* -> [注册表组]阻止_优先黑名单
    
22. 
    
23. 2018/8/24 星期五 20:44:41    加载动态链接库 风险提示:中风险    允许
    
24. 进程: c:\users\administrator\desktop\蜗牛透视自瞄2.0.exe
    
25. 目标: c:\windows\system32\dnsapi.dll
    
26. 规则: [应用程序]* -> [动态链接库]c:\windows\system32\dnsapi.dll
    
27. 
    
28. 2018/8/24 星期五 20:44:43    访问网络 风险提示:未知    允许
    
29. 进程: c:\users\administrator\desktop\蜗牛透视自瞄2.0.exe
    
30. 目标: TCP [本机 : 50989] ->  [43.226.44.121 : 80 (http)]
    
31. 规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
    
32. 
    
33. 2018/8/24 星期五 20:44:48    访问网络 风险提示:未知    允许
    
34. 进程: c:\users\administrator\desktop\蜗牛透视自瞄2.0.exe
    
35. 目标: TCP [本机 : 51019] ->  [42.120.219.29 : 25 (smtp)]
    
36. 规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
    
37. 
    
38. 2018/8/24 星期五 20:44:56    底层磁盘写操作 风险提示:高风险    阻止并结束进程
    
39. 进程: c:\users\administrator\desktop\蜗牛透视自瞄2.0.exe
    
40. 目标: \Device\Harddisk0\DR0
    
41. 规则: [应用程序]*.exe
    
42. 
    

复制代码

有一个写磁盘的动作。因为是实机，我没有允许。只能结束了。

www-tekeze

y3312068 发表于 2018-8-24 16:48
没锁机啊。难道反虚拟机？

会反虚拟机，但只是动作不完全。

www-tekeze

双击后会释放一个病毒文件“蜗牛透视自瞄2.0”到桌面，但这个病毒文件火绒已做过通杀，5天前的库就可以查杀。

Im_Zeus

诺顿拦截下载网页

WHALE-FALL

SEP  Heur.AdvML.B

abc277399

360

捏鲍鱼

Windows Defender直接秒杀