收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 Detection ratio: 3 / 55 键盘记录 自启动
1234567下一页
返回列表 发新帖
查看: 8323|回复: 67
收起左侧

[可疑文件] Detection ratio: 3 / 55 键盘记录 自启动

[复制链接]
墨家小子
发表于 2015-11-28 20:00:16 | 显示全部楼层 |阅读模式

SHA256:        19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10
File name:        19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe
Detection ratio:        3 / 55
Analysis date:        2015-11-28 11:55:05 UTC ( 0 minutes ago )

https://www.virustotal.com/en/fi ... nalysis/1448711705/



2015/11/28 19:55:14,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AAAAA\Desktop\11\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe" )

2015/11/28 19:55:14,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AAAAA\Desktop\11\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe" )

2015/11/28 19:55:41,C:\Users\AAAAA\Desktop\11\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe,53,Allowed ;执行应用程序 ("C:\Users\AAAAA\Desktop\11\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe")

2015/11/28 19:55:45,C:\Users\AAAAA\Desktop\11\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe,53,Allowed ;执行应用程序 ("C:\Windows\Microsoft.NET\Framework\v2.0.50727\regasm.exe")

2015/11/28 19:55:47,C:\Users\AAAAA\Desktop\11\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe,11,Blocked ;记录键盘输入

2015/11/28 19:55:48,C:\Users\AAAAA\Desktop\11\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe,40,Blocked ;以修改权限打开进程或线程 (TabTip32.exe(pid=4528))

2015/11/28 19:55:51,C:\Users\AAAAA\Desktop\11\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe,53,Allowed ;执行应用程序 ("C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe")

2015/11/28 19:55:52,C:\Users\AAAAA\Desktop\11\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe,11,Blocked ;记录键盘输入

2015/11/28 19:55:54,C:\Windows\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe,11,Blocked ;记录键盘输入

2015/11/28 19:55:56,C:\Users\AAAAA\Desktop\11\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Adobe)

2015/11/28 19:55:58,C:\Users\AAAAA\Desktop\11\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe,57,Blocked ;正在以只读方式打开受保护的进程 (explorer.exe(pid=4012))

2015/11/28 19:56:01,C:\Windows\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe,11,Blocked ;记录键盘输入
2015/11/28 19:56:03,C:\Users\AAAAA\Desktop\11\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe,50,Allowed ;使用 DNS 解析服务访问网络

2015/11/28 19:56:05,C:\Users\AAAAA\Desktop\11\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Adobe)

2015/11/28 19:56:07,C:\Windows\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe,50,Blocked ;使用 DNS 解析服务访问网络

2015/11/28 19:56:10,C:\Users\AAAAA\Desktop\11\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe,48,Blocked ;出站网络访问

2015/11/28 19:56:11,C:\Users\AAAAA\Desktop\11\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Adobe)

2015/11/28 19:56:14,C:\Windows\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe,48,Blocked ;出站网络访问

2015/11/28 19:56:16,C:\Users\AAAAA\Desktop\11\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Adobe)

2015/11/28 19:56:21,C:\Users\AAAAA\Desktop\11\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Adobe)

2015/11/28 19:56:26,C:\Users\AAAAA\Desktop\11\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Adobe)

2015/11/28 19:56:32,C:\Users\AAAAA\Desktop\11\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe,26,Terminated ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Adobe)


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +15 分享 +1 收起 理由
绯色鎏金 + 15 + 1 提供样本以及测试

查看全部评分

回复

举报

电脑发烧友
发表于 2015-11-28 20:00:58 | 显示全部楼层
本帖最后由 电脑发烧友 于 2015-11-28 20:20 编辑

1.尝试联网,如果无法联网则无后续行为》》》发送信息用呗
2.在ProgramData文件夹下创建随机6位数的文件夹,里面还有两个标志为系统程序的东东。
2.执行svchost.exe  RegAsm.exe   SearchFilterHost.exe   WMIADAP.exe  rundll32.exe   dllhost.exe   cmdvirth.exe   cis.exe PS:找死
3.注入上述进程

由于毛豆阻止了注入行为,我允许之后还是阻止,不知抽什么风了。以下是行为猜测。
4.被注入的进程挂键盘钩子,监视键盘。
5.监控到的信息存储在ProgramData文件夹下创建随机6位数的文件夹下。
6.由母体上传这些文件。


还是盗号的。

评分

参与人数 1经验 +3 收起 理由
绯色鎏金 + 3 感谢支持,欢迎常来: )

查看全部评分

回复

举报

IntelVT
发表于 2015-11-28 20:05:55 | 显示全部楼层
Norton
扫描

双击

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +3 收起 理由
wjy19800315 + 3 版区有你更精彩: )

查看全部评分

回复

举报

EnZhSTReLniKoVa
发表于 2015-11-28 20:14:40 | 显示全部楼层
墨家小子 发表于 2015-11-28 20:07
双击过了?不会吧?

AVA 25.4562
GD 25.5947

*** 进程 ***

进程: 1000
文件名: 19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe
路径: c:\users\natsukihanae\desktop\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe

发行商:: 未知发行商
创建日期: 11/28/15 12:12:00
修改日期: 11/28/15 11:54:28

启动进程:: hxtsr.exe
发行商:: Microsoft Corporation


*** 操作 ***

另一程序已打开此文件,进程无法继续。
程序正在监听记录键盘输入。
一个未知进程访问了。
程序已从自身的程序文件读取数据。
可执行文件被保存在一个可疑位置。


*** 隔离区 ***

下列文件被转入隔离区:
C:\Users\NatsukiHanae\Desktop\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe
c:\programdata\2f32222d1506765139ff79457b50133858bf2db5
c:\programdata\b765904e95ccbfe8a9be0edda6c55c6920e5fc5a
c:\users\natsukihanae\appdata\local\packages\microsoft.messaging_8wekyb3d8bbwe\ac\inetcache\rruhtbxs\15_10.0.0[1].json
c:\users\natsukihanae\appdata\local\temp\5eu9[7%gp0z3t9e{n0k7rut.tmp
c:\users\natsukihanae\appdata\local\temp\qdw4h%f6_vd5}08_garx46j.xml
c:\users\natsukihanae\appdata\roaming\idm\dwnldata\natsukihanae\att_kafan_cn_180\att_kafan_cn
c:\users\natsukihanae\appdata\roaming\idm\dwnldata\natsukihanae\att_kafan_cn_180\log_180.log
c:\users\natsukihanae\appdata\roaming\idm\scheduler\q_1.dt
c:\users\natsukihanae\appdata\roaming\tencent\logs\qq.tlg
c:\users\natsukihanae\appdata\roaming\tencent\qq\misc\1252303399
c:\users\natsukihanae\appdata\roaming\tencent\qq\misc\activexwhitelist
c:\users\natsukihanae\appdata\roaming\tencent\qq\temp\mso\)ov34`scp{7~wr1}(2(d_st.png
c:\users\natsukihanae\appdata\roaming\tencent\qq\temp\mso\291on)r}3oy4lhccc_$7x]j.png
c:\users\natsukihanae\appdata\roaming\tencent\qq\temp\mso\6vap[52i]k}{~3[68@2pixm.png
c:\users\natsukihanae\appdata\roaming\tencent\qq\temp\mso\o_af{pjaa[ueli$ma~@z]d1.png
c:\users\natsukihanae\appdata\roaming\tencent\qq\temp\mso\t[omj)v~_da]nms[f2zkstb.png
c:\users\natsukihanae\appdata\roaming\tencent\qq\temp\mso\xgs~t_ixfvhlf4k{cx[f99o.png
c:\users\natsukihanae\appdata\roaming\tencent\qqminidl\1252303399\config.ini
c:\users\natsukihanae\appdata\roaming\tencent\txsso\ssoconfig\appdb\_tsa_qq\_sid_1\_uin_0\txssoappcf.db
c:\users\natsukihanae\appdata\roaming\tencent\txsso\ssoconfig\globledb\_sid_0\_uin_0\txssogbcf2.db
c:\users\natsukihanae\appdata\roaming\tencent\users\1252303399\qq\wintemp\040)~}4g0d~q73kje9~kfc0.tmp
c:\users\natsukihanae\appdata\roaming\tencent\users\1252303399\qq\wintemp\1fvpsg}y`a6qu@$8f{o@}rg.tmp
c:\users\natsukihanae\appdata\roaming\tencent\users\1252303399\qq\wintemp\92}g%dv[[rovt$nqe~enw(5.tmp
c:\users\natsukihanae\appdata\roaming\tencent\users\1252303399\qq\wintemp\b)kb42rz]c)@)dp6zxj@}up.tmp
c:\users\natsukihanae\appdata\roaming\tencent\users\1252303399\qq\wintemp\jjp{3e]8dhiudr0lhkzb{6w.tmp
c:\users\natsukihanae\appdata\roaming\tencent\users\1252303399\qq\wintemp\{r3uv1@oa_0rl@}a5u8}vwa.tmp
c:\windows\syswow64\config\systemprofile\appdata\local\microsoft\windows\inetcache\ie\pcas[1].json
c:\windows\syswow64\config\systemprofile\appdata\roaming\tencent\logs\qqprotect.tlg
c:\windows\syswow64\config\systemprofile\appdata\roaming\tencent\qq\qqprotect\registry.db
c:\windows\temp\mfs3a6.tmp
c:\windows\temp\mfs40b1.tmp
c:\windows\temp\mfs46fb.tmp
c:\windows\temp\mfs471b.tmp
c:\windows\temp\mfse261.tmp

下列注册表项被删除:


YGLRuHLmCCsnjyknjykmBiwneHKCJyYGLSctJycnDC4nqCcniC4nl3AqdHJCJycmBrdycnJyYmKQKxaNK2eakC4n6GJicoIOenJyYmJycqAoJykmJicJynJyKCYmJ4ewJieYcnIpJ2fAKifocoItJweNcoJiYnKC0C0nLSYmJw2PcoIqJ5hycvApJysnKicHhyonJycnJganKx6MNWYrJx6MNWYrJyYGpy0nKSYmJwm3LScoJygmBrcvJyknKSYGxy4nKCYmJwjHLyeHYmJycgjnKCe/DGgpJ+iA+HJyYmJycoBpcnIAAA
规则版本: 5.0.71
OS: Windows 10.0 Service Pack 0.0 Build: 10586 - Workstation 64bit OS
DLL版本: 55982

"C:\Users\NatsukiHanae\Desktop\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe"
MD5: 34E43EB96E8207D3AECC42C49CFE2684
"C:\Users\NatsukiHanae\Desktop\19ab20723fb0a59d255a94816db46b9fc9d294468e7344fa41986c2a800d5d10.exe"
MD5:



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +3 收起 理由
绯色鎏金 + 3 感谢支持,欢迎常来: )

查看全部评分

回复

举报

蓝天二号
发表于 2015-11-28 20:05:14 | 显示全部楼层
GD  miss,双击 miss
回复

举报

墨家小子
 楼主| 发表于 2015-11-28 20:07:23 | 显示全部楼层
蓝天二号 发表于 2015-11-28 20:05
GD  miss,双击 miss

双击过了?不会吧?
回复

举报

蓝天二号
发表于 2015-11-28 20:08:04 | 显示全部楼层
墨家小子 发表于 2015-11-28 20:07
双击过了?不会吧?

运行一段时间后自退,,
回复

举报

墨家小子
 楼主| 发表于 2015-11-28 20:08:15 | 显示全部楼层
IntelVT 发表于 2015-11-28 20:05
Norton
扫描

诺顿区真是人气旺,以前有消停,现在你接班了
回复

举报

墨家小子
 楼主| 发表于 2015-11-28 20:09:07 | 显示全部楼层
蓝天二号 发表于 2015-11-28 20:08
运行一段时间后自退,,

看看启动项有什么
回复

举报

蓝天二号
发表于 2015-11-28 20:10:29 | 显示全部楼层
墨家小子 发表于 2015-11-28 20:09
看看启动项有什么

没什么,沙箱跑的,
回复

举报

墨家小子
 楼主| 发表于 2015-11-28 20:12:15 | 显示全部楼层
蓝天二号 发表于 2015-11-28 20:10
没什么,沙箱跑的,

沙箱里跑样本什么的最讨厌了
回复

举报

下一页 »
1234567下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 02:58 , Processed in 0.155569 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表