VT Detection ratio: 2 / 48 b34btbztdb0vavaw.exe

墨家小子

https://www.virustotal.com/en/fi ... nalysis/1379747197/

驭龙

过Microsoft AntiMalware，联网运行以后，会把自己的启动项删除，断网运行才会保留启动项。

启动项值
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"shell"="explorer.exe,C:\\Users\\用户名\\AppData\\Roaming\\cache.dat"

墨家小子

驭龙 发表于 2013-9-21 15:21
过Microsoft AntiMalware，联网运行以后，会把自己的启动项删除，断网运行才会保留启动项。

启动项值

你是说一开始双击的时候就要断网是吗？

驭龙

墨家小子 发表于 2013-9-21 15:30
你是说一开始双击的时候就要断网是吗？

断网过后双击,启动项才会存在,并且白屏.

在联网状态下,双击以后,虽然添加启动项,但是在样本退出的时候,好像会把启动项删除,如果测试这东西,最好根本不联网,才会白屏

墨家小子

驭龙 发表于 2013-9-21 15:36
断网过后双击,启动项才会存在,并且白屏.

在联网状态下,双击以后,虽然添加启动项,但是在样本退出的时 ...

我在虚拟机里开了影子，然后断网，没看到启动项咋回事

驭龙

墨家小子 发表于 2013-9-21 15:39
我在虚拟机里开了影子，然后断网，没看到启动项咋回事

不是吧,虚拟机还用影子？卸载以后,我就不相信没有启动项,要不要晚上给你拍个图,呵呵

墨家小子

驭龙 发表于 2013-9-21 15:45
不是吧,虚拟机还用影子？卸载以后,我就不相信没有启动项,要不要晚上给你拍个图,呵呵

我不是怀疑你，我是说这玩意能检测到影子？

驭龙

墨家小子 发表于 2013-9-21 15:46
我不是怀疑你，我是说这玩意能检测到影子？

估计有可能,我的虚拟机除了SCEP以外什么也没有,而且这家伙还会关闭任务管理器,影子我不玩,所以不清楚了,呵呵

墨家小子

驭龙 发表于 2013-9-21 15:49
估计有可能,我的虚拟机除了SCEP以外什么也没有,而且这家伙还会关闭任务管理器,影子我不玩,所以不清楚了,呵 ...

我弄明白了，只要开着SSP，不管是否拦截，这一只都无法运行，只有关闭SSP才能顺利白屏写入启动项

bbszy

文件名: b34btbztdb0vavaw.exe
威胁名称: Suspicious.Cloud.5.A
完整路径: f:\downloads\b34btbztdb0vavaw.exe

____________________________



详细信息
未知的社区使用情况,  未知的文件存在时间,  风险 高





原始
下载自
 未知





活动
已执行的操作: 已执行的操作: 1



____________________________



在电脑上的创建时间 
不可用


上次使用时间 
2013/9/21 星期六 ( 16:11:00 )


启动项目 
否


已启动 
否


____________________________


未知
诺顿社区中使用了此文件的用户数 未知。

未知
此文件版本当前 未知。

高
此文件具有高风险。

威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。



____________________________



来源: 外部介质



____________________________

文件操作

文件: f:\downloads\ b34btbztdb0vavaw.exe 已删除
____________________________


文件指纹 - SHA:
85e82062f769d33a0e1df0c5a56767090937c5d2d9a2afab5a839a07b521f261
文件指纹 - MD5:
不可用