Crystal Security
90/90
Paczki, malware, złośliwe pliki, linki itp.
|
24.06.2016, 20:11
Dzięki i ja tak życzę przyjemnych wakacji!
Crystal Security 90/90
24.06.2016, 20:18
KFA
85/90 Miłych wakacji
24.06.2016, 21:24
360 TS - 88/90
Ransom TowerWeb # Shitware
[Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Treść widoczna jedynie dla zarejestrowanych użytkowników Żeby powiększyć trza zapisać lub otworzyć w nowej karcie. [Aby zobaczyć linki, zarejestruj się tutaj] Charakterystyka: malware korzysta z NET Framework (może być wykrywany przez programy av jako MSIL) [assembly: AssemblyVersion("1.0.0.0")] [assembly: Debuggable] [assembly: AssemblyCompany("Hewlett-Packard")] [assembly: AssemblyConfiguration("")] [assembly: AssemblyCopyright("Copyright © Hewlett-Packard 2016")] [assembly: AssemblyDescription("")] [assembly: AssemblyFileVersion("1.0.0.0")] [assembly: AssemblyProduct("anonpop")] [assembly: AssemblyTitle("anonpop")] [assembly: AssemblyTrademark("")] [assembly: CompilationRelaxations(8)] [assembly: RuntimeCompatibility(WrapNonExceptionThrows = true)] [assembly: ComVisible(false)] [assembly: Guid("b96b4695-16f1-43d1-93a9-6a66de164988")] [module: ConfusedBy("ConfuserEx v0.6.0")] Posiada pięć sekcji - jedna jest nietypowa o współczynniku anomalii 7.889 [Aby zobaczyć linki, zarejestruj się tutaj] Doaje się do autostartu: HKCU\Software\Microsoft\Windows\CurrentVersion\Run jako My app uzyskuje dostęp do sieci przez usługę DNSResolver anonpop C:\Users\RafaB \Desktop\1.exe nawiązuje połączenie wychodzące (TCP) Adres=www.kipibank.com(205.144.171.139) Port=80 151.249.92.71 zostaje zmodyfikowany klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability\shutdown\ zostaje dodany komunikat: Pay Your Ransom to Get Your Files and Computer Back. Shutting Down In 60 Seconds. Email: [email protected] for assistance." uruchomia aplikację: C:\Windows\System32\shutdown.exe (w celu zamykania systemu) zostaje dodana subdomena do klucza: HKEY_USERS\S-1-5-21-3536143562-3202178637-1203078308-1000\Software\Microsoft\Internet Explorer\DOMStorage\kipibank.com\ Running Processes\1.exe\Opened Handles\ : Pomocniczy Sterownik funkcyjny Winsock \Device\Afd Sterownika urządzenia \Device\KsecDD NSI proxy service driver \Device\Nsi (Modyfikuje ustawienia proxy) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap Odczytuje informacje o obsługiwanych językach HKLM\SYSTEM\ControlSet001\Control\Nls opuszcza pliki: c:\Users\RafaB\AppData\Local\Dane aplikacji\Microsoft\Internet Explorer\DOMStore\SVC8WQZK\ mod [Aby zobaczyć linki, zarejestruj się tutaj] [1].xmlmod: c:\Users\RafaB\Ustawienia lokalne\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCRQ6PG1\ mod anon[1].jpg c:\Users\RafaB\Ustawienia lokalne\Microsoft\Windows\Temporary Internet Files\Content.IE5\I7C6CUUH\ mod i2[1].htm c:\Users\RafaB\Ustawienia lokalne\Microsoft\Windows\Temporary Internet Files\Content.IE5\WASQ63ZS\ mod counter[1].js Czyta pliki konfiguracyjny desktop.ini Dodaje mutexy Modyfikuje c:\Documents and Settings\Rafał\AppData\Roaming\Microsoft\Windows\Cookies\ dodaje: O80TEEDR.txt zawartośc: is_unique sc11010822.1466928870.0 statcounter.com/ 2147484672 523400960 30894490 3270371934 30527362 * is_visitor_unique 1466928870299569584 statcounter.com/ 2147484672 3034461952 30674213 3270527934 30527362 * dodaje: E552R6H7.txt zawartośc: sc_is_visitor_unique rx11010822.1466928869.A47AFF56D6E04F92685B92AEF398B5E7.1.1.1.1.1.1.1.1.1 [Aby zobaczyć linki, zarejestruj się tutaj] 16003024461952 30674213 3267095928 30527362 * Komputer próbuje się wyłączyć po 60 sekundach Podczas ponownego uruchomienia komputera, maszyna będzie zamykana co 60 sekund chyba że zapłacimy teoretyczny okup
26.06.2016, 14:22
Crystal Security
1/1
26.06.2016, 16:26
(24.06.2016, 19:32)Ark223 napisał(a): McAfee Endpoint Security 88/90 97,77%
27.06.2016, 17:56
27.06.2016, 20:18
Heh, sam miałem pisać, bo mamusia otworzyła. Na szczęście VBA są wyłączone i nie zezwoliła, tylko zadzwoniła do rodziny. A próba otworzenia VBA editora w Comodo Virtual Desktop pokazała losowe ciągi znaków, jak na screenie z niebezpiecznika ;>
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
28.06.2016, 06:30
[Malware Pack] Jun 2016 #90
Eset 84/90 ( 93.33% ) MBAM 73/90 ( 81,11% ) Hitman 86/90 ( 95.55 % )
EIS 12 HITMAN
28.06.2016, 07:54
(24.06.2016, 19:32)Ark223 napisał(a):ZAM 87/90
04.07.2016, 19:33
05.07.2016, 17:06
360 TS - 2/2 - Przy wypakowaniu.
05.07.2016, 17:37
KFA
2/2-przy wypakowaniu
05.07.2016, 18:35
05.07.2016, 18:55
Defender z Win10 przy uruchomieniu wykrywa.
05.07.2016, 21:02
Kfa wykrywa przy wypakowaniu
06.07.2016, 20:55
360 TS - 1/1 - Przy wypakowaniu.
09.07.2016, 10:58
Avast 1/1 - Przy wypakowaniu.
|
« Starszy wątek | Nowszy wątek »
|