2020-03-20 - ICEDID FROM INFO_03_20.DOC

YorkWaugh

下载地址：

https://www.lanzous.com/iahhrlc

https://www.lanzous.com/iahhrmd

https://www.lanzous.com/iahhrne

ASSOCIATED FILES:

2020-03-20-IcedID-IOCs.txt.zip   2.0 kB (1,969 bytes)

2020-03-20-IcedID-traffic.pcap.zip   3.3 MB (3,308,199 bytes)

2020-03-20-IcedID-malware-and-artifacts.zip   1.7 MB (1,656,321 bytes)

NOTES:

• Please read 2020-03-20-IcedID-IOCs.txt for a bit of background and current details on today's infection.
  

IMAGES

Shown above:  Screenshot of the Word doc.

Shown above:  Traffic from an infection filtered in Wireshark.

Shown above:  Initial artifacts seen for a successful infection (I had to use MSHTA.EXE saved here as "microsoft.com" for this to work).

Shown above:  Follow-up artifacts seen after a successful infection.

Shown above:  Scheduled task to keep IcedID persistent on my infected lab host.

swizzer

来了
智量占楼
扫描4x，其余均无恶意行为。



其实楼主只需转载

malware-and-artifacts

  这种的就够了@YorkWaugh

a233

Avast

a27573

ESET
filename.dll Win32/Kryptik.HCDK 特洛伊木马 的变种

断簪

卡巴
21.03.2020 11.29.31;检测到的对象 ( 文件 ) 已删除;
G:\Downloads\2020-03-20-IcedID-malware-and-artifacts\index.html;
HEUR:Trojan-Downloader.Script.Generic


21.03.2020 11.29.34;检测到的对象 ( 文件 ) 已删除;
G:\Downloads\2020-03-20-IcedID-malware-and-artifacts\~456968.dll;
UDS:Trojan-Banker.Win32.Cridex


21.03.2020 11.30.35;检测到的对象 ( 文件 ) 不再可用;
G:\Downloads\2020-03-20-IcedID-malware-and-artifacts\Ittaan.dll;
UDS:Trojan-Banker.Win32.Cridex


21.03.2020 11.31.30;检测到的对象 ( 文件 ) 将在计算机重启后处理;
G:\Downloads\2020-03-20-IcedID-malware-and-artifacts\filename.dll;
UDS:Trojan-Banker.Win32.Cridex.knx

YorkWaugh

swizzer 发表于 2020-3-21 11:08
来了
智量占楼
扫描4x，其余均无恶意行为。

一起转了，省事

swizzer

YorkWaugh 发表于 2020-3-21 11:28
一起转了，省事

这样容易坑到小白

为什么这几个样本，xxx他就是不杀？双击也没反应？

YorkWaugh

swizzer 发表于 2020-3-21 12:33
这样容易坑到小白

小白回来这

swizzer

YorkWaugh 发表于 2020-3-21 12:34
小白回来这

当然了

话说咱俩这算不算版聊

QVM360

ESET
filename.dll - Win32/Kryptik.HCDK 特洛伊木马 的变种 - 通过删除清除 [1]