#3 (18.11.24)

显示全部楼层 · 发表于 2018-11-25 00:16:47

infected

Avira Pro
miss 3.exe -> del files from non system disk D (3.exe creates .bat file)

显示全部楼层 · 发表于 2018-11-25 00:18:31

本帖最后由 BE_HC 于 2018-11-25 00:37 编辑

Norton Kill All（开启主动启发

Resolved Threats:
Heur.AdvML.B
Type: Anomaly
Risk: High (High Stealth, High Removal, High Performance, High Privacy)
Categories: Heuristic Virus
Status: Fully Resolved
-----------
1 Infected File
C:\Users\DrClef\Desktop\3\2.exe - Deleted
1 Browser Cache
Heur.AdvML.B
Type: Anomaly
Risk: High (High Stealth, High Removal, High Performance, High Privacy)
Categories: Heuristic Virus
Status: Fully Resolved
-----------
1 Infected File
C:\Users\DrClef\Desktop\3\3.exe - Deleted
1 Browser Cache
Heur.AdvML.B
Type: Anomaly
Risk: High (High Stealth, High Removal, High Performance, High Privacy)
Categories: Heuristic Virus
Status: Fully Resolved
-----------
1 Infected File
C:\Users\DrClef\Desktop\3\1.exe - Deleted
1 Browser Cache

复制代码

显示全部楼层 · 发表于 2018-11-25 00:18:57

本帖最后由 BE_HC 于 2018-11-25 00:40 编辑

CCAV Scan &Run MISS All
Norton SONAR 1x （关闭主动启发

1.exe --- SONAR.Heuristic.170

2.exe
随机打开一个windows应用程序（疑似注入）然后连接8.8.8.8 ？

访问这几个网站（好像都打不开
http://carfax.com//y0x4ghkfqp/index.php
http://zepter.com//y0x4ghkfqp/index.php

复制代码

3.exe
详情见此帖子（MD5不同但行为相似，附上bat用于删文件的衍生物

https://bbs.kafan.cn/thread-2137334-1-1.html

显示全部楼层 · 发表于 2018-11-25 00:22:05

25.11.2018 00.21.49;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\3\2.exe;C:\Users\Administrator\Desktop\3\2.exe;Trojan.Win32.Nymaim.bmiw;木马程序;11/25/2018 00:21:49
25.11.2018 00.21.49;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\3\3.exe;C:\Users\Administrator\Desktop\3\3.exe;UDS:Trojan-Ransom.Win32.Encoder.sb;木马程序;11/25/2018 00:21:49
25.11.2018 00.21.49;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\3\1.exe;C:\Users\Administrator\Desktop\3\1.exe;Trojan-Spy.Win32.Stealer.enm;木马程序;11/25/2018 00:21:49

复制代码

显示全部楼层 · 发表于 2018-11-25 00:23:18

本帖最后由 YU2711 于 2018-11-25 00:49 编辑

Trend Micro Scan Miss All
运行
1.exe

2.exe

3.exe

显示全部楼层 · 发表于 2018-11-25 00:35:23

本帖最后由小Q机器人于 2018-11-25 00:39 编辑

智量和卡巴斯基都成功拦截

显示全部楼层 · 发表于 2018-11-25 00:44:22

2.exe is infected with Gen:Suspicious.Cloud.2.PiW@aS3Dndi

显示全部楼层 · 发表于 2018-11-25 00:46:40

本帖最后由 Kaspersky用户于 2018-11-25 00:50 编辑

AVAST扫描KILL1，运行后IDP击杀2个。

显示全部楼层 · 发表于 2018-11-25 01:19:16

智量清空，火绒kill 2X 。

显示全部楼层 · 发表于 2018-11-25 01:26:00

www-tekeze 发表于 2018-11-25 01:19
智量清空，火绒kill 2X 。

火绒miss #3，双击，调用cmd，删文件时首先被自定义规则拦截，很快被主防报勒索，over 。。

[病毒样本] #3 (18.11.24)

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源