17.04.2013, 19:41
rafikrafiki napisał(a):Zone alarm - Hips niby blokuje, jednak aplikacja uruchamia się i blokuje ekran, po restarcie malware nie uruchamia się.
Tutaj jest ciekawa sytuacja jest to Ransom Winlock i nie ma się co obawiać bo nie koduje plików tylko zablokowuje ekran nawet w trybie awaryjnym,tutaj są 2 sprawy pierwsza część jest spakowana i zaszyfrowana w sfx RAR w momencie uruchomienia następuje wypakowanie zawartości czyli następnej części tego już oficjalnego ransoma do :
Kod:
* File name: C:\Users\tachion\Desktop\TeenTube_93290.exe
* File length: 207782 bytes
* File signature (PEiD): Nothing found [RAR SFX] *
* File signature (Exeinfo): SFX RAR default stub v3.90-4.20 ( MS C++ v.9.0 ) ,
* File type: EXE
* TLS hooks: NO
* File entropy: 7.40711 (92.5889%)
* ssdeep signature: 3072:Oz+92mhTMMJ/cPiq5bVioBis1PJ8S2aeK91Co2WujvWd/DBuUslmO:Oz+92mhAMJ/cPl3iogxSrn0vWxIUMmO
* Adobe Malware Classifier: Clean
* Digital signature: Unsigned
* MD5 hash: c8cad8c31e32e70b4157e7f07a87826d
* VirusTotal detections from 2013-04-17 06:11:34 UTC:
: ssdeep</h5>
[ Changes to filesystem ]
* Creates file C:\Users\tachion\AppData\Local\Temp\RarSFX0\KMPlayer.exe
File length: 53174 bytes
File signature (PEiD): NsPack 3.4 -> North Star *
File signature (Exeinfo): nsPack ver.3.x-4.1 reg by North Star [ -+- SIZE OF CODE = 00 kb - FIX IT -+- ]
File type: EXE
TLS hooks: NO
File entropy: 7.50812 (93.8515%)
ssdeep signature: 768:qvSVkaCBO2nmVK6fLTzIuPJUsFIkJngSVMgzMW36XzC7/8TMBq3t3:t2mVK6fL/JUsFIYnnVZv6DCb+h93
Adobe Malware Classifier: Malicious
Digital signature: Unsigned
MD5 hash: f6f6cea92bbbf4f9841318a9d2a1e563
po sprawdzeniu głównego pliku okazuje się że sam posiada zabezpieczenie w postaci NSPack 3.7
Po uruchomieniu następuje wykonanie i załadowanie się na c:\\w postaci pliku 9965.exe[ tutaj nazwy są losowe ]jak i autostartu ,następnie następuje blokada ekranu
Treść widoczna jedynie dla zarejestrowanych użytkowników
[Aby zobaczyć linki, zarejestruj się tutaj]
********************************************************************************************************************
[Aby zobaczyć linki, zarejestruj się tutaj]