查看: 8710|回复: 51
收起左侧

[可疑文件] VT Detection ratio: 3 / 50 JR.exe 略屌

  [复制链接]
墨家小子
发表于 2014-3-4 20:51:14 | 显示全部楼层 |阅读模式






https://www.virustotal.com/en/fi ... nalysis/1393937053/

https://www.virustotal.com/en/fi ... nalysis/1393936686/

https://www.virustotal.com/en/fi ... nalysis/1393937070/


20:39:05        允许        JR.EXE        启动拥有网络访问许可的应用程序        c:\windows\system32\wuauclt.exe   (谁帮忙看看之后是不是注入wuauclt.exe)

20:39:29        拦截        WUAUCLT.EXE        驱动程序加载        ProtectedStorage

20:39:32        允许        WUAUCLT.EXE        OLE 自动控制        \RPC Control\OLE48E7D9E6D5234D3A9908F3C1864B

20:39:33        允许        WUAUCLT.EXE        DNS API 请求
       

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
lingfei
发表于 2014-3-5 12:28:51 | 显示全部楼层
JR.exe貌似有注入wuauclt.exe
2014-2-21 08:03:06    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\测试\jr.exe
命令行: "C:\测试\JR.exe"
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]『询问』病毒测试 -> [应用程序]*\测试\*

2014-2-21 08:03:16    创建新进程    允许
进程: c:\测试\jr.exe
目标: c:\windows\system32\wuauclt.exe
命令行: C:\WINDOWS\system32\wuauclt.exe
规则: [应用程序组]『询问』病毒测试

2014-2-21 08:03:18    修改注册表值    允许
进程: c:\测试\jr.exe
目标: HKEY_CURRENT_USER\Software\1600156901459586
值: 22 03 3b 1f 23 15 37 10 40 6f 5a 1a 39 13 76 60 3b 0e 19 06 35 0a 18 16 1a 17 05 27 7d 67 7e 68 38 0c f4 3a f3 04 e1 2d e7 09 f6 0b f6 1c 86 70 d2 01 e9 11 e2 31 f3 30 fc 1c e2 11 cd 77 8e 78 df 3c 90 7a dd 7a 90 7c 93 6d 94 7e 9d 7f 96 80 97 81 98 82 79 83 94 a5 90 84 9c bc 9d 81 9f 88 9f db a0 8a a1 8b a2 8c 7b 70 a5 8e a5 9f a6 90 a7 b1 a9 92 a9 93 aa 84 ab 85 ac 96 ad 95 ae 98 ab 99 b0 9a b1 9b b2 9c b7 9d b4 9e b5 9f b6 a0 b7 21 ba a2 b9 a1 ba a4 bb a5 bc a6 bf a7 be a8 bf a9 d0 aa c1 bb c2 ac c3 ad d4 ae c5 bf c6 b0 c7 b1 c8 b2 d9 b3 ca b4 6f b5 ce b6 e5 b7 ce b8 43 b9 d2 ba c5 bb d2 bc d3 bd d4 be d5 bf d6 c0 d7 c1 d8 c2 d9 c3 da c4 db c5 dc c6 dd c7 de c8 97 c9 e0 ca e9 cb e2 cc e3 cd e4 ce e5 cf e6 d0 e7 d1 e8 d2 e9 d3 ea d4 eb d5 ec d6 ed d7 ee d8 ef d9 f0 da f1 db f2 dc f3 dd f4 de f5 df f6 e0 f7 e1 f8 e2 f9 e3 fa e4 fb e5 fc e6 fd e7 fe e8 ff ea 00 eb 01 ec 02 ed 03 ee 04 ef 05 f0 06 f1 07 f2 08 f3 09 f4 0a f5 25 a3 7c 96 6e 93 0e f9 0f 7a 11 fb 11 ec 12 fd 13 fe 14 ff 16 00 17 01 18 02 19 03 1a 04 1b 05 1c 06 1d 07 7e 08 1f e9 0e 78 52 79 41 0c 23 0d 24 fe 25 0f 26 80 26 11 e4 62 29 13 2a 16 2b 15 2c 16 2d 17 2e 18 2f 19 30 1a 31 1b 52 1c 33 fd bc 1f 35 0f fa 20 35 31 23 22 39 23 34 24 3b 25 3c 36 3d 37 38 28 3d 39 12 2a 43 3b 17 2c 41 3d 27 2e 47 3f 78 30 45 21 b4 3d 49 23 33 cb 4a 25 37 c9 4c 27 55 c6 4e 29 cb b1 50 2b da 3c 51 2d ab 41 54 2f 3b bf 56 51 58 46 59 43 26 43 5b 45 98 4d 5d 47 37 43 5f 49 63 4c 61 4b 62 dc 62 5d 64 4e 65 4f 99 af 98 ae 69 52 69 53 6b 54 6b 55 6d 56 6d 57 6f 58 6f 59 70 2a 0c a3 d1 54
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2014-2-21 08:03:21    修改其他进程的内存    允许
进程: c:\测试\jr.exe
目标: c:\windows\system32\wuauclt.exe
规则: [应用程序组]『询问』病毒测试

2014-2-21 08:03:29    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\shimeng.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:03:33    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\winmm.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:03:35    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\msacm32.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:03:38    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\uxtheme.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:03:40    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\imm32.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:03:42    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\lpk.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:03:45    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\usp10.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:03:48    删除文件    允许
进程: c:\windows\system32\wuauclt.exe
目标: C:\测试\JR.exe
规则: [应用程序组]『询问』病毒测试 -> [文件组]全局高危文件

2014-2-21 08:03:51    删除注册表值    允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_CURRENT_USER\Software\1600156901459586
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2014-2-21 08:03:54    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\wsock32.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:03:57    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\ws2_32.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:03:59    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\ws2help.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:00    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\msctf.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:01    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\msi.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:02    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\pstorec.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:03    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\atl.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:12    修改文件 (2)    允许
进程: c:\windows\system32\wuauclt.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2014-2-21 08:04:14    修改注册表值    允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\Administrator\Application Data
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2014-2-21 08:04:15    修改注册表值    允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
值: C:\Documents and Settings\All Users\Application Data
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2014-2-21 08:04:17    修改注册表值    允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Local AppData
值: C:\Documents and Settings\Administrator\Local Settings\Application Data
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2014-2-21 08:04:18    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\clbcatq.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:19    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\comres.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:20    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\shdocvw.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:20    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\riched20.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:28    修改注册表值    允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2014-2-21 08:04:31    修改注册表值    允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2014-2-21 08:04:36    修改注册表值    允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
值: C:\Documents and Settings\Administrator\Local Settings\History
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2014-2-21 08:04:39    修改注册表值    允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
值: C:\Documents and Settings\Administrator\My Documents
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2014-2-21 08:04:40    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\mswsock.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:41    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\hnetcfg.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:42    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\wshtcpip.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:43    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\dnsapi.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:44    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\iphlpapi.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:44    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\winrnr.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:45    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\rasadhlp.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:45    加载动态链接库    允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\samlib.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:47    修改文件    允许
进程: c:\windows\system32\wuauclt.exe
目标: \Device\NamedPipe\samr
规则: [应用程序组]『询问』病毒测试 -> [文件]*

评分

参与人数 1人气 +1 收起 理由
墨家小子 + 1 感谢解答: )

查看全部评分

蓝天二号
发表于 2014-3-4 20:53:43 | 显示全部楼层
   费尔+火绒





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
瓜g
发表于 2014-3-4 20:58:08 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
蓝天二号
发表于 2014-3-4 21:01:29 | 显示全部楼层

星星的 决策引擎 不错啊。。。。
迷惘的执著
发表于 2014-3-4 21:21:00 | 显示全部楼层
360拉黑

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
XywCloud
发表于 2014-3-4 21:31:09 | 显示全部楼层
百度杀毒国际版云杀2个
夜深了,不做行为测试了
墨家小子
 楼主| 发表于 2014-3-4 21:36:13 | 显示全部楼层
XywCloud 发表于 2014-3-4 21:31
百度杀毒国际版云杀2个
夜深了,不做行为测试了

纯爷们就试试这个 JR.EXE
XywCloud
发表于 2014-3-4 21:37:09 | 显示全部楼层
墨家小子 发表于 2014-3-4 21:36
纯爷们就试试这个 JR.EXE

MD!!!我还没洗澡呢!!!11点就要熄灯!!!
我还没洗衣服呢!!!
我还没泡妹纸呢!!!
墨家小子
 楼主| 发表于 2014-3-4 21:38:46 | 显示全部楼层
XywCloud 发表于 2014-3-4 21:37
MD!!!我还没洗澡呢!!!11点就要熄灯!!!
我还没洗衣服呢!!!
我还没泡妹纸呢!!!

爆粗口 已举报 思过崖 不谢
cxy密斯
发表于 2014-3-4 21:38:50 | 显示全部楼层
大蜘蛛杀了一个
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 01:18 , Processed in 0.136552 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表