VT Detection ratio: 4 / 48 Kq6MbYs.exe Sweet Orange exploit kit 挂马

墨家小子

https://www.virustotal.com/en/fi ... nalysis/1380193431/

电影结束了

C:\Windows\System32\svchost.exe         修改注册表项         HKUS\S-1-5-21-2577050401-3372467474-2900388889-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
2013-09-26 19:07:12         C:\Windows\System32\svchost.exe         修改文件         C:\Users\Administrator\Desktop\Kq6MbYs.dll
2013-09-26 19:07:12         C:\Windows\System32\svchost.exe         修改注册表项         HKLM\SOFTWARE\Microsoft\Cryptography\RNG
2013-09-26 19:07:07         C:\Windows\System32\svchost.exe         修改注册表项         HKLM\SYSTEM\ControlSet???\Services\WinDefend
2013-09-26 19:07:07         C:\Windows\System32\svchost.exe         访问COM接口         C:\Windows\System32\svchost.exe
2013-09-26 19:07:07         C:\Windows\System32\svchost.exe         修改注册表项         HKUS\S-1-5-21-2577050401-3372467474-2900388889-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
2013-09-26 19:07:07         C:\Windows\System32\svchost.exe         访问COM接口         C:\Windows\System32\svchost.exe
2013-09-26 19:07:07         C:\Windows\System32\svchost.exe         修改注册表项         HKUS\S-1-5-21-2577050401-3372467474-2900388889-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2013-09-26 19:07:01         C:\Users\Administrator\Desktop\Kq6MbYs.exe         访问COM接口         LocalSecurityAuthority.Debug
2013-09-26 19:07:01         C:\Windows\System32\svchost.exe         访问COM接口         LocalSecurityAuthority.Debug
2013-09-26 19:07:01         C:\Windows\System32\svchost.exe         修改注册表项         HKLM\SYSTEM\ControlSet???\Services\wscsvc
2013-09-26 19:06:52         C:\Windows\system32\svchost.exe         Sandbox中运行         Partially Limited
2013-09-26 19:06:51         C:\Users\Administrator\Desktop\Kq6MbYs.exe         Sandbox中运行         Partially Limited

...开摄像头了嘛。。。

墨家小子

电影结束了 发表于 2013-9-26 19:09
...开摄像头了嘛。。。

开摄像头 毛豆拦截到了吗？

电影结束了

墨家小子 发表于 2013-9-26 19:23
开摄像头 毛豆拦截到了吗？

那个开了二秒钟就灭了算拦到了吗？
我就装了个AV。。。没装防火墙有些联网了啥的都不知道。。。

netvox

微点杀

墨家小子

电影结束了 发表于 2013-9-26 19:25
那个开了二秒钟就灭了算拦到了吗？
我就装了个AV。。。没装防火墙有些联网了啥的都不知道。。。

不算 弹窗提示算

XywCloud

百度杀毒国际版、超级巡警均不杀

卡巴专家

TO KL

消停

文件名: kq6mbys.exe
威胁名称: SONAR.ProcHijack!gen1
完整路径: 不可用

____________________________



详细信息
极少用户信任的文件,  极新的文件,  风险 高





原始
下载自
 未知





活动
已执行的操作: 3



____________________________



在电脑上的创建时间 
2013-9-27 ( 7:05:24 )


上次使用时间 
2013-9-27 ( 7:05:24 )


启动项目 
否


已启动 
是


____________________________


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。



____________________________



来源: 外部介质



源文件:
kq6mbys.exe




____________________________

文件操作

文件: f:\norton样本\ kq6mbys.exe 已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\kq6mbys.exe, PID:1584) 未采取操作
事件: 进程启动: c:\Windows\System32\ svchost.exe, PID:2776 (执行者 f:\norton样本\kq6mbys.exe, PID:1584) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

zdlzp

过火绒