可疑文件

www-tekeze

安全守护者 发表于 2019-2-15 19:57
你是下的最新版吗？最开始的有BUG

重新下被智量Heur杀。。  但火绒还是MISS。

BE_HC

安全守护者 发表于 2019-2-15 20:06
https://www.lanzous.com/i35fyw这才是最新的吧

取消了?

安全守护者

BE_HC 发表于 2019-2-15 20:08
取消了?

没有啊http://t.cn/EVUBb9u

安全守护者

www-tekeze 发表于 2019-2-15 20:07
重新下被智量Heur杀。。  但火绒还是MISS。

双击试试呗，另：帮我看看微步分析结果，谢谢

www-tekeze

安全守护者 发表于 2019-2-15 20:06
https://www.lanzous.com/i35fywj这才是最新的吧

后下这个文件大小是176K，红伞扫描双击依然MISS。

会释放个vbs，然后又删除自身，运行没出错，最终显示一个窗口。

BE_HC

安全守护者 发表于 2019-2-15 20:11
没有啊http://t.cn/EVUBb9u

Human Expert Analysis Results --> Ransomware (Delete the file)

-->生成并执行可疑文件

1. %DESKTOP%\upload.exe        
   
2. %CURRENTPATH%\msg.vbs
   
3. %TEMP%\B9BA.tmp\B9BB.tmp\B9BC.bat        
   
4. %STARTUP%\autorun.bat

复制代码

-->使用批处理大量删除文件

安全守护者

www-tekeze 发表于 2019-2-15 20:14
后下这个文件大小是176K，红伞扫描双击依然MISS。

会释放个vbs，然后又删除自身，运行没出错，最终 ...

你看一下有没有什么异常，我看到腾讯habo：

1. 行为描述：        删除文件
   
2. 详情信息：       
   
3. C:\Documents and Settings\Administrator\Local Settings\Temp\9.tmp
   
4. C:\Documents and Settings\Administrator\Local Settings\Temp\9.tmp\A.tmp
   
5. C:\Documents and Settings\Administrator\Local Settings\Temp\9.tmp\A.tmp\B.tmp
   
6. C:\Documents and Settings\Administrator\「开始」菜单\desktop.ini
   
7. C:\Documents and Settings\Administrator\「开始」菜单\程序\desktop.ini
   
8. C:\Documents and Settings\Administrator\「开始」菜单\程序\Internet Explorer.lnk
   
9. C:\Documents and Settings\Administrator\「开始」菜单\程序\Microsoft Office\Microsoft Office 2007 控制中心.lnk
   
10. C:\Documents and Settings\Administrator\「开始」菜单\程序\Microsoft Office\Microsoft Office Excel 2007.lnk
    
11. C:\Documents and Settings\Administrator\「开始」菜单\程序\Microsoft Office\Microsoft Office PowerPoint 2007.lnk
    
12. C:\Documents and Settings\Administrator\「开始」菜单\程序\Microsoft Office\Microsoft Office Word 2007.lnk
    
13. C:\Documents and Settings\Administrator\「开始」菜单\程序\Microsoft Office\Microsoft Office 文档关联中心.lnk
    
14. C:\Documents and Settings\Administrator\「开始」菜单\程序\Microsoft Office\Microsoft Office 语言设置.lnk
    
15. C:\Documents and Settings\Administrator\「开始」菜单\程序\Microsoft Office\VBA项目数字证书.lnk
    
16. C:\Documents and Settings\Administrator\「开始」菜单\程序\Oracle VM VirtualBox Guest Additions\Uninstall.lnk
    
17. C:\Documents and Settings\Administrator\「开始」菜单\程序\Oracle VM VirtualBox Guest Additions\Website.lnk

复制代码

www-tekeze

安全守护者 发表于 2019-2-15 20:13
双击试试呗，另：帮我看看微步分析结果，谢谢

微步2家报，行为自己看： https://s.threatbook.cn/report/f ... p1_enx86_office2013

VT报毒率11/68： https://www.virustotal.com/#/fil ... f9df27b8f/detection
糖呢？糖呢？  

安全守护者

www-tekeze 发表于 2019-2-15 20:22
微步2家报，行为自己看： https://s.threatbook.cn/report/f ... p1_enx86_office2013

VT报毒率11/68 ...

对于在线云沙箱，死穴就在于分析时间有限和动作处理上。这次因为一个pause命令卡住了，后面的行为就没出来。。。

我要打十個

Sandboxie运行，COMODO启发式检出

创建运行bat



创建Upload.exe，由bat执行


最后调用cmd


upload.exe附带无效数字