Anonymous Network napisał(a): Trojan-Ransom.Win32.Foreign.bofu
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
Pass: sg[/malware]
Riskware.Win32.RelevantKnowledge.AO.AMN
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
Pass: sg[/malware]
Ad-Aware free 10+
Ransom niestety górą, po uruchomieniu koniec sielanki.
Obydwa pliki nie są wykrywane przez program, po rozpakowaniu.
Zone Alarm AV + F
Program antywirusowy blokuje ransoma za pomocą HIPSA
Obydwa pliki nie są wykrywane przez program, po rozpakowaniu.
rafikrafiki napisał(a):Program antywirusowy blokuje ransoma za pomocą HIPSA
Możesz pokazać jakie są komunikaty z hipsa
tachion napisał(a):rafikrafiki napisał(a):Program antywirusowy blokuje ransoma za pomocą HIPSA
Możesz pokazać jakie są komunikaty z hipsa
[Aby zobaczyć linki, zarejestruj się tutaj]
Nie sklasyfikowany ransom wykorzystany w atkach na spamhaus
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
BudbarareHell napisał(a):Nie sklasyfikowany ransom wykorzystany w atkach na spamhaus
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
Hmm.. Po rozpakowaniu Zone Alarm nie wykrywa. Uruchomienie pliku, nie jest monitowane przez Zone.
Dodatkowo widać uruchomienie procesu w kill switch, który zaraz znika, i plik także. Czekałem jakieś 15 minut i nic.
Ponowne wypakowanie i uruchomienie pliku w kill switch pokazuje error w klasyfikacji procesu, a sam plik nie znika ?
Dodano: 19 kwie 2013, 21:09
A oto co pokazuje Hitman Pro:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Trojan-Ransom.Win32.Foreign.bofu by Anonymous Network
1/1
Riskware.Win32.RelevantKnowledge.AO.AMN by Anonymous Network
0/1
Nie sklasyfikowany ransom wykorzystany w atakach na spamhaus by BudbarareHell
1/1
BudbarareHell napisał(a):Nie sklasyfikowany ransom wykorzystany w atkach na spamhaus
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
arcavir wykrywa :O
Szkodnik tworzy katalog
C:\Documents and Settings\User\Local Settings\Application Data\DTS Bootstrap
a w nim podfoldery
2 plik sa tworzone
C:\Documents and Settings\User\Local Settings\Application Data\DTS Bootstrap\SessEnv.exe
C:\Documents and Settings\User\Local Settings\Application Data\DTS Bootstrap\SessEnv.mui
po tym automatycznie kasuje sampla z którego został uruchomiony
tworzy proces:
C:\WINDOWS\system32\msiexec.exe
i wstrzykuje swój kod do niego
dodaje także wpis do autostartu w kluczu:
KHCU\Software\Microsoft\Windows\CurrentVersion\Run\SessEnv
tworzy także odwołanie do DNS i stron http:
Kod:
DNS Queries
DNS Query Text
www.google.com IN A +
• HTTP Queries
HTTP Query Text
www.google.com GET /webhp HTTP/1.1
Sorki za błedy jak coś nie znam się
BudbarareHell napisał(a):Nie sklasyfikowany ransom wykorzystany w atkach na spamhaus
Norton wykrywa - 1/1.
[Aby zobaczyć linki, zarejestruj się tutaj]
445 malware by tachion z dnia 2013-04-20
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
Eset Nod 6
436/445 (97,97%)
ZoneAlarm Free AV + F
434/445 = 97,5 %
HTML/Fraud lub tez wykly scam kto co woli
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
Trojan Injector
[Aby zobaczyć linki, zarejestruj się tutaj]
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
Thank
Trojan Injector
COMODO :
detected and move file to quarantine (UnclassifiedMalware@1)