#Magniber msi 1X(2022-06-01-01)

wwwab

huangzihang

Event: Malicious object detected
Component: Intrusion Prevention
Result description: Detected
Type: Trojan
Name: HEUR:Trojan-Ransom.Win64.Magni.gen
Threat level: High
Object path: C:\Users\huangzihang\Desktop\新建文件夹\System.Upgrade.Win10.0-KB40973214.msi//
Object name: x25ny4fv9c
Reason: Expert analysis
Databases release date: Today, 2022/6/1 9:56:00
MD5: EC2399F1F8F2D2127D1BC2FDC9446ECE

BD扫描MISS，不双击，肯定寄
BD2号终于入库了，上报催了好久，骚扰了n次技术支持, 不知道这次能不能做通杀

aboringman

360：miss

双击击杀。。。。。。

1. 时间        操作        说明        次数
   
2. 2022-05-23 19:55:44        [已清除]          发现木马：Trojan.Generic        防护 1 次
   
3. 详细描述：
   
4. 木马名称：Trojan.Generic
   
5. 所在路径：C:\Users\123\Desktop\Magniber\System.Upgrade.Win10.0-KB40973214.msi
   
6. 2022-05-23 19:55:42        [自动阻止]          进程创建        防护 1 次
   
7. 详细描述：
   
8. 进程：C:\Windows\explorer.exe
   
9. 动作：进程创建
   
10. 路径：C:\Windows\System32\msiexec.exe
    
11. 防护信息: AD|10, 10, 70||

复制代码

Now

1. D:\test\Magniber\System.Upgrade.Win10.0-KB40973214.msi        Win64/Ransom.Generic.HnoASsgA        已删除

复制代码

Kingbatsoft

ESET
时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
2022/6/1 16:32:38;HTTP 过滤器;文件;https://bbs.kafan.cn/forum.php?m ... U5MjJ8MjIzNjI3MQ==;多个检测;连接已终止;AKINGBATSOFT\尝试通过应用程序访问 Web 时发生事件: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe (03DF42F6A14936736BFA8FF07DF88CF8F873615E).;A0088A735F3C9659B1CFF784B7D807F7A8B4D26B;

智量开始双击没拦住日志如下

1. Time                FilePath                                                                                           VirusName
   
2. 2022-06-01 17:01:10 C:\Windows\System32\sihost.exe                                                                      MEMRAY:MalThread.A0
   
3. 2022-06-01 17:01:02 C:\Windows\System32\regsvr32.exe                                                                    WIBD:HEUR.ByPassUAC.B21
   
4. 2022-06-01 17:00:59 C:\Windows\System32\regsvr32.exe                                                                    WIBD:HEUR.ByPassUAC.B21
   
5. 2022-06-01 17:00:56 C:\Windows\System32\regsvr32.exe                                                                    WIBD:HEUR.ByPassUAC.B21
   
6. 2022-06-01 17:00:53 C:\Windows\System32\regsvr32.exe                                                                    WIBD:HEUR.ByPassUAC.B21
   
7. 2022-06-01 17:00:50 C:\Windows\System32\regsvr32.exe                                                                    WIBD:HEUR.ByPassUAC.B21
   
8. 2022-06-01 17:00:47 C:\Windows\System32\regsvr32.exe                                                                    WIBD:HEUR.ByPassUAC.B21
   
9. 2022-06-01 17:00:44 C:\Windows\System32\regsvr32.exe                                                                    WIBD:HEUR.ByPassUAC.B21
   

复制代码

智量现在拦截样本

aoqiwsw

ESET KILL

00006666

双击  实时监控隔离样本



趁TMP文件还没被拉黑，通过放行MSI，测试主防，成功拦截，拦截后MSI进程被结束，无任何文件被加密

诸葛亮

红伞扫描miss ,未双击

aboringman

00006666 发表于 2022-6-1 16:38
双击  实时监控隔离样本

TMP实际上是可以杀的，我试过直接放行了。。。。。。

00006666

aboringman 发表于 2022-6-1 16:52
TMP实际上是可以杀的，我试过直接放行了。。。。。。

我测试的时候还没被拉黑，看了下应该是我这里被拦截后自动上传云分析然后拉黑的，一开始TMP没被拉黑，放行MSI就可以测试。

wwwab

Kingbatsoft 发表于 2022-6-1 16:34
ESET
时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
2022/6/1 16:32:38;H ...

@智量官方 @智量盾