作者yaurtusn ()
看板AntiVirus
标题[情报] 可疑的 DLL
时间Thu Sep 8 14:55:44 2016
电脑在 7月2日 cerber 发作过後没做处置
9月5日 又发作一次
今天似乎又要启动不明程序
我终止了可疑的 Rundll32 的动作 (启动 另一份临时档案 dll 档)
并且也复制一份保留下来
(那动作是 Rundll32.exe ooxx.tmp.dll start)
有人要这份 ooxx.tmp.dll 拿去研究的吗?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 112.104.142.20
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1473317747.A.D8C.html
1F:→ jh961202: 很明显就是勒索吧,这是触发的老方法了 09/08 16:17
2F:→ jh961202: 要不要丢VirusTotal看看各家防毒的反应? 09/08 16:17
分析的结果:
SHA256: 7b478c453a89ccca6b53dd27658688cfad3a18bb8d7d68a61d8bb75788b03f49
档案名称: rad417FA.tmp.dll
侦测率: 8 / 56
分析日期: 2016-09-08 16:53:51 UTC+8
Avira(no cloud) TR/Crypt.ZPACK.jjo
Baidu Win32.Trojan.WisdomEyes.151026.9950.9999
Bkav HW32.Packed.15D0
DrWeb Trojan.Encoder.5047
Invincea ddos.win32.nitol.a
McAfee Trojan-FJOK!2414F01A8D06
Qihoo-360 HEUR/QVM40.1.0000.Malware.Gen
TrendMicro-HouseCall Ransom_HPCRYPMIC.SM1
其他的未侦测到
3F:推 mathrew: 非常标准的勒索病毒 09/08 20:50
不是很清楚,应该是吧?
4F:推 zu00405479: 可以压起来站内信给我测试吗?先谢谢了 09/08 22:46
信件已寄出
[email protected]
信件被退回 请另给信箱以寄送
5F:推 likeus: 我想测试别家防毒 想请原PO提供 09/09 00:48
信件已寄出
[email protected]
信件被退回 请另给信箱以寄送
6F:推 glennchen: 我也想测 方便站内吗? 09/09 08:19
信件已寄出 寄送 Gmail 已收
7F:推 aglet: Qihoo 360不就是卫士360 09/09 11:50
对,卫士 360 是 Qihoo 公司的产品之一
8F:→ Klauhal: ooxx还不作档名伪装... 09/09 12:50
9F:→ jh961202: 只有8家抓到,这... 09/09 16:01
10F:推 mavewei: 请寄给我一份,谢谢 09/09 18:11
信件已寄出
[email protected]
信件被退回 请另给信箱以寄送
trumpete 要求档案已寄送
11F:推 trumpete: 似乎dll 被挡了 只收到 html 与 txt 档 ^^" 09/13 17:43
一封邮件标题是 " cerber 可疑dll 压缩档 " 那附件是 dll 压缩档,没有退回讯息!!
第二封邮件是" 另附中毒後的明显档案 " 附件只有 html 与 txt 档
第三封邮件是" 一个vbs文件档的内容 " 直接贴上 vbs档案内容,无附件
※ 编辑: yaurtusn (112.104.142.20), 09/14/2016 11:35:48