Detection ratio: 4 / 55 SSF不说了，过

墨家小子

SHA256        cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82
File name: uwctyrru.exe
Detection ratio: 4 / 55  
Analysis date: 2015-11-27 23:57:58 UTC ( 1 hour, 25 minutes ago )




2015/11/28 9:24:12,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\OOOOO\Desktop

\1111\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82.exe" )

2015/11/28 9:24:14,C:\Users\OOOOO\Desktop

\1111\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82.exe,47,Allowed ;创建

交换数据流 (C:\Users\OOOOO\AppData\Local\Temp\hsckcecr.exe:Zone.Identifier)

2015/11/28 9:24:16,C:\Users\OOOOO\Desktop

\1111\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82.exe,53,Allowed ;执行

应用程序 (C:\Users\OOOOO\AppData\Local\Temp\hsckcecr.exe)

2015/11/28 9:24:21,C:\Users\OOOOO\AppData\Local\Temp\hsckcecr.exe,53,Allowed ;执行应用程序

(C:\windows\system32\svchost.exe)

2015/11/28 9:24:23,C:\Users\OOOOO\AppData\Local\Temp\hsckcecr.exe,40,Blocked ;以修改权限打开

进程或线程 (svchost.exe(pid=5264))

2015/11/28 9:24:25,C:\Users\OOOOO\AppData\Local\Temp\hsckcecr.exe,53,Allowed ;执行应用程序

(C:\windows\system32\svchost.exe)

============================================

2015/11/28 9:24:31,C:\Windows\SysWOW64\svchost.exe,41,Blocked ;修改受保护的文件 (C:\Users

\OOOOO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xwkfrrvo.exe)

介个是怎么回事儿？？？SSF你说，你说，你说

============================================

2015/11/28 9:24:37,C:\Users\OOOOO\AppData\Local\Temp\hsckcecr.exe,53,Blocked ;执行应用程序

("C:\windows\system32\sdbinst.exe" /q "C:\Users\OOOOO\AppData\Local\Temp\\..\..\LocalLow

\com.f.sdb")

2015/11/28 9:24:42,C:\Windows\SysWOW64\svchost.exe,26,Blocked ;修改受保护的注册表键 (HKCU

\Software\Microsoft\Windows\CurrentVersion\Run,XwkFrrvo)

2015/11/28 9:24:45,C:\Windows\SysWOW64\svchost.exe,50,Blocked ;使用 DNS 解析服务访问网络

2015/11/28 9:24:47,C:\Windows\SysWOW64\svchost.exe,26,Blocked ;修改受保护的注册表键 (HKCU

\Software\Microsoft\Windows\CurrentVersion\Run,XwkFrrvo)

2015/11/28 9:24:51,C:\Users\OOOOO\AppData\Local\Temp\hsckcecr.exe,53,Blocked ;执行应用程序

("C:\windows\system32\sdbinst.exe" /q /u "C:\Users\OOOOO\AppData\Local\Temp\\..\..\LocalLow

\com.f.sdb")

2015/11/28 9:24:54,C:\Windows\SysWOW64\svchost.exe,48,Blocked ;出站网络访问

2015/11/28 9:24:56,C:\Windows\SysWOW64\svchost.exe,26,Blocked ;修改受保护的注册表键 (HKCU

\Software\Microsoft\Windows\CurrentVersion\Run,XwkFrrvo)
2015/11/28 9:25:01,C:\Windows\SysWOW64\svchost.exe,26,Blocked ;修改受保护的注册表键 (HKCU

\Software\Microsoft\Windows\CurrentVersion\Run,XwkFrrvo)

2015/11/28 9:25:05,C:\Users\OOOOO\AppData\Local\Temp\hsckcecr.exe,53,Allowed ;执行应用程序

("C:\windows\SysWOW64\cmd.exe" /C ""C:\Users\OOOOO\AppData\Local\Temp\oyjawytm.exe"")

2015/11/28 9:25:08,C:\Windows\SysWOW64\svchost.exe,26,Blocked ;修改受保护的注册表键 (HKCU

\Software\Microsoft\Windows\CurrentVersion\Run,XwkFrrvo)

2015/11/28 9:26:05,C:\Windows\SysWOW64\cmd.exe,53,Blocked ;执行应用程序 ("C:\Users\OOOOO

\AppData\Local\Temp\oyjawytm.exe")

2015/11/28 9:26:08,C:\Windows\SysWOW64\svchost.exe,26,Blocked ;修改受保护的注册表键 (HKCU

\Software\Microsoft\Windows\CurrentVersion\Run,XwkFrrvo)

2015/11/28 9:26:31,C:\Windows\SysWOW64\svchost.exe,26,Terminated ;修改受保护的注册表键 (HKCU

\Software\Microsoft\Windows\CurrentVersion\Run,XwkFrrvo)

fuzhk

辽宁大连~~小海

这家伙，弹个没完没了，还清除不了？

电脑发烧友

触犯规则：《缉毒卫队》【FD】程序创建监控》》》低风险，不信任建议结束进程
操作类型：创建
操作文件：C:\Users\wuliao\AppData\Local\anbogcmh\itsbqfvu.exe
用户操作：已忽略

触犯规则：《缉毒卫队》【RD】详细安全策略
操作类型：写入
操作注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
用户操作：已忽略

操作进程：C:\Users\wuliao\Desktop\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82.exe
风险动作：修改启动目录(扩展保护)
目标文件：C:\Users\wuliao\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\itsbqfvu.exe
用户操作：已忽略

触犯规则：《缉毒卫队》【RD】详细安全策略
操作类型：写入
操作注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
用户操作：已忽略


操作进程：C:\Users\wuliao\Desktop\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82.exe
触犯规则：《缉毒卫队》【RD】详细安全策略
操作类型：写入
操作注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride
用户操作：已忽略


操作进程：C:\Users\wuliao\Desktop\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82.exe
触犯规则：《缉毒卫队》【RD】服务\驱动相关
操作类型：写入
操作注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\wscsvc\Start
用户操作：已忽略

操作进程：C:\Users\wuliao\Desktop\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82.exe
风险动作：修改Winlogon启动项
目标注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
用户操作：已忽略

触犯规则：《缉毒卫队》【AD】特殊位置禁运
操作类型：执行
C:\Users\wuliao\AppData\Local\Temp\rpkgxnqy.exe
用户操作：【自动】已阻止      


P S：放行这部后火绒就侧漏了

操作进程：C:\Users\wuliao\AppData\Local\Temp\rpkgxnqy.exe
风险动作：修改关键系统进程
目标进程：C:\Windows\System32\svchost.exe
用户操作：已阻止


P S：显示拦截，但是svchost还是出现了异常行为

操作进程：C:\Windows\System32\svchost.exe
触犯规则：《缉毒卫队》【AD】特殊位置禁运
操作类型：执行
C:\Users\wuliao\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\itsbqfvu.exe
用户操作：已忽略

P S：但是没有联网行为

由于规则为了通用暂时信任了windows下的所有程序，所以后续行为看不见。

火绒扫描杀，主防不杀。

Renascence

文件名: jjiukhmi.exe
威胁名称: SONAR.SuspBeh!gen5完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2015/11/28 ( 9:49:27 )

上次使用时间 
2015/11/28 ( 9:49:27 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


jjiukhmi.exe 威胁名称: SONAR.SuspBeh!gen5
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
jjiukhmi.exe

____________________________

文件操作

文件: c:\sandbox\XXX\defaultbox\user\current\appdata\local\temp\ jjiukhmi.exe 威胁已删除
文件: c:\sandbox\XXX\defaultbox\user\current\appdata\local\temp\ qoelkvrw.exe 威胁已删除
文件: c:\users\XXX\downloads\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82\ cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82.exe 威胁已删除
文件: c:\sandbox\XXX\defaultbox\user\current\appdata\local\temp\ qoelkvrw.exe:zone.identifier 不需要操作
文件: c:\sandbox\XXX\defaultbox\user\current\appdata\locallow\ com.XXX.sdb 威胁已删除
文件: c:\sandbox\XXX\defaultbox\user\current\appdata\locallow\ cmd.XXX.bat 威胁已删除
文件: c:\sandbox\XXX\defaultbox\user\current\appdata\local\ uedgtvqe.log 威胁已删除
文件: c:\sandbox\XXX\defaultbox\user\current\appdata\local\temp\ jjiukhmi.exe:zone.identifier 不需要操作
____________________________

注册表操作

注册表更改: HKEY_USERS\Sandbox_XXX_DefaultBox\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\ jjiukhmi_RASAPI32, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_XXX_DefaultBox\MACHINE\Software\Microsoft\ WindowsRuntime, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_XXX_DefaultBox\MACHINE\Software\Classes\ ActivatableClasses, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_XXX_DefaultBox\machine\Software\Microsoft\Windows\CurrentVersion\ Explorer, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\SANDBOX_XXX_DEFAULTBOX\user\current_classes\ ActivatableClasses, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_XXX_DefaultBox\machine\Software\Policies\Microsoft\ Cryptography, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\SANDBOX_XXX_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap->ProxyBypass:1, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\SANDBOX_XXX_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap->IntranetName:1, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\SANDBOX_XXX_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap->UNCAsIntranet:1, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\SANDBOX_XXX_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap->AutoDetect:0, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\Sandbox_XXX_DefaultBox\Machine\Software\Microsoft\SQMClient\Windows\ DisabledProcesses, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_XXX_DefaultBox\Machine\Software\Microsoft\ TelemetryClient, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_XXX_DefaultBox\user\current\Software\Microsoft\ Windows NT, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_XXX_DefaultBox\MACHINE\SOFTWARE\ Wow6432Node, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_XXX_DefaultBox\machine\Software\Microsoft\ Tracing, 注册表配置单元: 64 位 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\sandbox\XXX\defaultbox\user\current\appdata\local\temp\jjiukhmi.exe, PID:2852) 未采取操作
(执行者 c:\sandbox\XXX\defaultbox\user\current\appdata\local\temp\jjiukhmi.exe, PID:2852) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ svchost.exe, PID:5428 (执行者 c:\sandbox\XXX\defaultbox\user\current\appdata\local\temp\jjiukhmi.exe, PID:2852) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ svchost.exe, PID:5944 (执行者 c:\sandbox\XXX\defaultbox\user\current\appdata\local\temp\jjiukhmi.exe, PID:2852) 未采取操作
事件: PE 文件创建: c:\sandbox\XXX\defaultbox\user\current\appdata\local\temp\ qoelkvrw.exe (执行者 c:\sandbox\XXX\defaultbox\user\current\appdata\local\temp\jjiukhmi.exe, PID:2852) 未采取操作
事件: PE 文件创建: c:\sandbox\XXX\defaultbox\user\current\appdata\roaming\microsoft\windows\start menu\programs\startup\ antpdugf.exe (执行者 c:\sandbox\XXX\defaultbox\user\current\appdata\local\temp\jjiukhmi.exe, PID:2852) 未采取操作
事件: 进程启动: c:\sandbox\XXX\defaultbox\user\current\appdata\local\temp\ jjiukhmi.exe, PID:2852 (执行者 c:\sandbox\XXX\defaultbox\user\current\appdata\local\temp\jjiukhmi.exe, PID:2852) 未采取操作
事件: 浏览器进程启动 (执行者 c:\users\XXX\downloads\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82.exe, PID:4512) 未采取操作
(执行者 c:\users\XXX\downloads\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82.exe, PID:4512) 未采取操作
事件: PE 文件创建: c:\sandbox\XXX\defaultbox\user\current\appdata\local\temp\ jjiukhmi.exe (执行者 c:\users\XXX\downloads\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82.exe, PID:4512) 未采取操作
事件: 进程启动: c:\sandbox\XXX\defaultbox\user\current\appdata\local\temp\ jjiukhmi.exe, PID:2852 (执行者 c:\users\XXX\downloads\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82.exe, PID:4512) 未采取操作
事件: 进程启动: c:\users\XXX\downloads\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82\ cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82.exe, PID:4512 (执行者 c:\users\XXX\downloads\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82\cb65bdba8b18cef2d4afe4835ba509f572b7ee2652da2af804038efa97c64f82.exe, PID:4512) 未采取操作
____________________________

可疑操作

(执行者 c:\sandbox\XXX\defaultbox\user\current\appdata\local\temp\jjiukhmi.exe, PID:2852) 未采取操作
事件: 尝试在进程地址空间内启动远程线程 (执行者 c:\sandbox\XXX\defaultbox\user\current\appdata\local\temp\jjiukhmi.exe, PID:2852) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

dongwenqi

卡巴斯基杀

nick20010117

bullguard扫描miss，双击kill

275751198

360 HEUR/QVM07.1.Malware.Gen

墨家小子

电脑发烧友 发表于 2015-11-28 09:39
触犯规则：《缉毒卫队》【FD】程序创建监控》》》低风险，不信任建议结束进程
操作类型：创建
操作文件： ...

你什么系统？

电脑发烧友

墨家小子 发表于 2015-11-28 10:23
你什么系统？

VM12，win7*32，做过反检测处理，应该不会出现发现在虚拟机里就不干坏事的情况。

P S：昨天晚上才做的处理

XywCloud

BAV Killed