VT Detection ratio: 9 / 46 install_flashplayer.exe

显示全部楼层 · 发表于 2013-2-27 00:20:31

https://www.virustotal.com/en/fi ... nalysis/1361895460/

文件: C:\Users\Firefox3\Desktop\install_flashplayer\install_flashplayer.exe
大小: 68096 字节
修改时间: 2013年2月26日, 21:10:22
MD5: A1C2CEC5A9DB491E816CFCDF76BE52AA
SHA1: 431A76C85BF471B6B51DB71B75D56C8F04B57164
CRC32: BC3E7CA0

文件: C:\Users\Firefox3\Desktop\新建文件夹\install_flashplayer.exe
大小: 68096 字节
修改时间: 2013年2月27日, 0:17:29
MD5: 55580D8BCAAF0884996DC99DE26A1DDF
SHA1: 125F813EE55B9C908099E409849315F6551549ED
CRC32: 4C5A596B

显示全部楼层 · 发表于 2013-2-27 00:29:31

本帖最后由倾枫锝渔♂ 于 2013-2-27 00:33 编辑

我会说  跟 http://bbs.kafan.cn/thread-1474878-1-1.html
这个样本的行为一样么~

但是火绒  开高级未知  却能拦截

但是推荐的确实忽略  ╮(╯▽╰)╭

显示全部楼层 · 发表于 2013-2-27 00:54:56

360 入库 KILL

显示全部楼层 · 发表于 2013-2-27 01:19:34

显示全部楼层 · 发表于 2013-2-27 02:53:45

NIS 双击清除

显示全部楼层 · 发表于 2013-2-27 12:19:19

本帖最后由 mizai 于 2013-2-27 14:12 编辑

一开始打开默认浏览器，并不停地修改其内存其实就是为了要连下面MD日志显示的地址，
   后来不胜其烦就阻止了。
2013-2-27 12:01:43,C:\Documents and Settings\All Users\Application Data\pcdfdata\install_flashplayer.exe,29,Blocked ;
访问其它进程内存 (firefox.exe(pid=2844))

2013-2-27 12:01:44,C:\Documents and Settings\All Users\Application Data\pcdfdata\install_flashplayer.exe,30,Blocked ;
在其它进程中注入远线程 (firefox.exe(pid=2844))

然后它就自己连网了。。。。。。
2013-2-27 12:02:04 访问网络允许
进程: c:\documents and settings\all users\application data\pcdfdata\install_flashplayer.exe
目标: TCP [本机 : 1942] ->  [5.199.143.174 : 80 (http)]
规则: [网络]TCP [本机 : 任意端口] -> [任意地址 : 80]

2013-2-27 12:02:24,C:\Documents and Settings\All Users\Application Data\pcdfdata\install_flashplayer.exe,26,Blocked ;
改变关键注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,pcdfsvc)

2013-2-27 12:02:28,C:\Documents and Settings\All Users\Application Data\pcdfdata\install_flashplayer.exe,26,Blocked ;
改变关键注册表项目 (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders,Common Start Menu)

2013-2-27 12:02:35,C:\Documents and Settings\All Users\Application Data\pcdfdata\install_flashplayer.exe,40,Blocked ;
打开其它进程并获取修改权限 (firefox.exe(pid=1644))

补充一点，后来发现打开每一个程序都弹出install_flashplayer.exe
   事实上，ssp并没有成功拦截对HKEY_CURRENT_USER\Software\Classes\.exe的修改

显示全部楼层 · 发表于 2013-2-27 12:26:22

这奇葩了，费尔拦截了，什么时候淘宝也有拦截功能了

显示全部楼层 · 发表于 2013-2-27 14:07:03

双击

显示全部楼层 · 发表于 2013-2-27 14:16:58

完整路径: 不可用
威胁: SONAR.Heuristic
____________________________
____________________________

在电脑上的创建时间 
2013/2/27 ( 14:14:52 )

上次使用时间 
2013/2/27 ( 14:14:52 )

启动项目 
否

已启动 
是

____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

文件来源树



install_flashplayer.exe

____________________________
文件操作
install_flashplayer.exe
已删除
____________________________
系统设置操作
未采取操作
iexplore.exe
未采取操作
install_flashplayer.exe
未采取操作
____________________________
可疑操作
未采取操作

平均资源使用率:
低

平均CPU 使用率:
低

平均内存使用率:
低

____________________________
文件指纹 - SHA:
12087d7b4ea27830e252a30019f8889e560f4970d6382afacdb0601d7d792479
____________________________
文件指纹 - MD5:
55580d8bcaaf0884996dc99de26a1ddf
____________________________

显示全部楼层 · 发表于 2013-2-27 14:32:22

mizai 发表于 2013-2-27 12:19
一开始打开默认浏览器，并不停地修改其内存其实就是为了要连下面MD日志显示的地址，
后来不胜其烦就阻 ...

你应该是虚拟机吧~

我都测过了~

[可疑文件] VT Detection ratio: 9 / 46 install_flashplayer.exe

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源