收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 VT Detection ratio: 4 / 47 4966292.exe
返回列表 发新帖
查看: 2365|回复: 9
收起左侧

[可疑文件] VT Detection ratio: 4 / 47 4966292.exe

[复制链接]
墨家小子
发表于 2013-6-4 08:36:03 | 显示全部楼层 |阅读模式


https://www.virustotal.com/en/fi ... nalysis/1370305909/

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

小丑鱼ZZW
发表于 2013-6-4 09:48:41 | 显示全部楼层
无法访问该网页

请求对象所在的网址:

https://att.kafan.cn/forum.php?mod=
attachment&aid=MjE2MzA1Nnw4MmYyMzg4Y3wxM
zcwMzEwNDM2fDQ5NTA0MXwxNTc4NjA4

检测到威胁:

对象已被感染: HEUR:Trojan.Win32.Generic
回复

举报

hddu
发表于 2013-6-4 09:54:48 | 显示全部楼层
2013-06-04 09:57:30    创建文件      操作:允许
进程路径:F:\virus\4966292\4966292.exe
文件路径:C:\WINDOWS\system32\comptrol.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll


2013-06-04 09:57:33    删除注册表      操作:允许
进程路径:F:\virus\4966292\4966292.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ipsemlby
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


2013-06-04 09:57:33    创建注册表值      操作:允许
进程路径:F:\virus\4966292\4966292.exe
注册表路径:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppCertDlls
注册表名称:[Key]
触发规则:所有程序规则->系统设置->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Session Manager*


2013-06-04 09:57:33    创建注册表值      操作:允许
进程路径:F:\virus\4966292\4966292.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls
注册表名称:ipsemlby
触发规则:所有程序规则->系统设置->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Session Manager*


2013-06-04 09:57:33    创建远程线程      操作:阻止
进程路径:F:\virus\4966292\4966292.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->*


2013-06-04 09:57:36    运行应用程序      操作:允许
进程路径:F:\virus\4966292\4966292.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""F:\virus\4966292\1325485.bat" "F:\virus\4966292\4966292.exe""
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2013-06-04 09:57:38    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:-r -s -h "F:\virus\4966292\4966292.exe"
触发规则:所有程序规则->系统程序设置->*\attrib.exe


2013-06-04 09:57:39    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\4966292\4966292.exe
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\*


2013-06-04 09:57:39    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\4966292\1325485.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


回复

举报

消停
头像被屏蔽
发表于 2013-6-4 10:27:51 | 显示全部楼层
文件名: 4966292.exe
威胁名称: SONAR.Heuristic
完整路径: 不可用

____________________________

详细信息
极少用户信任的文件,  极新的文件,  风险 高

原始
下载自 未知

活动
已执行的操作: 4

____________________________


在电脑上的创建时间 2013-6-4 ( 10:27:03 )
上次使用时间 2013-6-4 ( 10:27:03 )
启动项目 否
已启动 是

____________________________


极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。


此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。



____________________________



来源: 外部介质
源文件:
4966292.exe

____________________________

文件操作

受感染文件: f:\norton样本\特殊\4966292.exe已删除
____________________________

系统设置操作

事件: PE 文件创建: c:\windows\system32\mdreping.dll (执行者 f:\norton样本\特殊\4966292.exe, PID:2800)未采取操作
事件: 进程启动 (执行者 f:\norton样本\特殊\4966292.exe, PID:2800)未采取操作
事件: 进程启动: f:\norton样本\特殊\4966292.exe, PID:2800 (执行者 f:\norton样本\特殊\4966292.exe, PID:2800)未采取操作
____________________________


文件指纹 - SHA:
92c2cb0a353dc9961e94a3fab7e7dc8a37834d8ea1b0231934a8f3c055c4c7d3
文件指纹 - MD5:
不可用
回复

举报

337070637
发表于 2013-6-4 10:28:57 | 显示全部楼层
360、金山报毒
回复

举报

a445441
发表于 2013-6-4 11:37:06 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

傻猪猪米走鸡
发表于 2013-6-4 11:40:53 | 显示全部楼层
2013/6/4 11:40:26        ESET 内核        文件 '4966292.exe' 已发送到 ESET 进行分析。       
回复

举报

win98sp123
发表于 2013-6-4 17:32:17 | 显示全部楼层


火绒哑火。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

fireold
发表于 2013-6-4 18:57:03 | 显示全部楼层
G Data

*** Process ***

Process: 5444
File name: 4966292.exe
Path: c:\users\administrator\downloads\4966292.exe

Publisher: Unknown publisher
Creation date: 06/04/13 10:55:09
Modification date: 06/04/13 00:26:19

Started by: explorer.exe
Publisher: Microsoft Windows


*** Actions ***

The virus scanner has detected that the file is malicious.
The program has saved files in the system folder.
The program has created or manipulated an executable file.
The program has created or manipulated an executable file in the system folder.


*** Quarantine ***

The following files were moved into quarantine:
C:\Users\Administrator\Downloads\4966292.exe
C:\Windows\System32\ieUnlder.dll

The following registry entries were deleted:


YHLS0HJycnJiYuByonKiYmLwcnJycmJicCp0ckInJyYGt3JycnJiYpArJwrscnJycmJiwC8nJycnJgaHKycnJycmBqcrGPs1ZisnGPs1ZisnJga3KCcnJycmBrcpJycnJyYGtyonCOcoJwcA
Rules version: 4.1.2
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 32bit OS
dll version: 30732

"C:\Users\Administrator\Downloads\4966292.exe"
C:\Windows\Explorer.EXE
回复

举报

fireold
发表于 2013-6-4 19:06:19 | 显示全部楼层
TrustPort 雙擊



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-25 18:24 , Processed in 0.130961 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表