Detection ratio: 7 / 56 PO0015012081-1-0.exe

墨家小子

SHA256:        ac9212e0ed7efbff1f63bc5338722819dc78a3bf79de73b2dbfc41a8ef2df163
File name:        PO0015012081-1-0.exe
Detection ratio:        7 / 56
Analysis date:        2015-12-02 08:18:59 UTC ( 34 minutes ago )
https://www.virustotal.com/en/fi ... 8ef2df163/analysis/



没看懂……

2015/12/2 16:53:42,C:\Windows\explorer.exe,53,Allowed ;Execution of an application ("C:\Users\AAAAA\Desktop\1111\PO0015012081-1-0.exe" )

2015/12/2 16:53:48,C:\Users\AAAAA\Desktop\1111\PO0015012081-1-0.exe,47,Allowed ;Creating alternate data stream (C:\Users\AAAAA\Desktop\1111\PO0015012081-1-0.exe:Zone.Identifier)

2015/12/2 16:53:53,C:\Users\AAAAA\Desktop\1111\PO0015012081-1-0.exe,53,Allowed ;Execution of an application ("C:\Users\AAAAA\Desktop\1111\PO0015012081-1-0.exe" /AutoIt3ExecuteScript C:\Users\AAAAA\AppData\Local\Temp\lol.bin)

2015/12/2 16:53:55,C:\Users\AAAAA\Desktop\1111\PO0015012081-1-0.exe,47,Allowed ;Creating alternate data stream (C:\Users\AAAAA\Desktop\1111\PO0015012081-1-0.exe:Zone.Identifier)

2015/12/2 16:53:57,C:\Users\AAAAA\Desktop\1111\PO0015012081-1-0.exe,53,Allowed ;Execution of an application ("C:\Users\AAAAA\Desktop\1111\PO0015012081-1-0.exe")

2015/12/2 16:53:59,C:\Users\AAAAA\Desktop\1111\PO0015012081-1-0.exe,50,Allowed ;Accessing the network via DNSResolver service

2015/12/2 16:54:00,C:\Users\AAAAA\Desktop\1111\PO0015012081-1-0.exe,48,Allowed ;Outgoing network access

2015/12/2 16:54:05,C:\Users\AAAAA\Desktop\1111\PO0015012081-1-0.exe,53,Allowed ;Execution of an application (C:\windows\system32\cmd.exe /c ""C:\Users\AAAAA\AppData\Local\Temp\63684765.bat"       "C:\Users\AAAAA\Desktop\1111\PO0015012081-1-0.exe"   ")

驭龙

ESS MISS

275751198

360本地QVM启发
类型：
QVM10.1.Malware.Gen

描述：
恶意软件是对病毒、木马、蠕虫、后门程序等危害用户计算机及数据安全的有害软件的统称。危害较大。

扫描引擎：
QVMⅡ人工智能引擎

文件指纹(MD5)：
95aa85135490f7771cacc67fc710fd9d

XywCloud

SUD to BAV
又是这种毒。

pal家族

卡巴拉黑
02.12.2015 18.05.04;检测到的对象（文件）已删除。;D:\360安全浏览器下载\PO0015012081-1-0\PO0015012081-1-0.exe;WinRAR 压缩文件管理器;D:\360安全浏览器下载\PO0015012081-1-0\PO0015012081-1-0.exe;12/02/2015 18:05:04;UDS:DangerousObject.Multi.Generic

xyz0703

BD

追影子的十三

第一次见这种病毒名

Renascence

文件名: po0015012081-1-0.exe
威胁名称: SONAR.Heuristic.120完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2015/12/2 ( 19:24:21 )

上次使用时间 
2015/12/2 ( 19:24:21 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


po0015012081-1-0.exe 威胁名称: SONAR.Heuristic.120
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


https://att.kafan.cn/forum.php?mo ... DkzMDU0NXwxODY3Mzc4
已下载文件 po0015012081-1-0.exe 威胁名称: SONAR.Heuristic.120
从 att.kafan.cn
来源: 外部介质

winrar.exe


创建的文件:
po0015012081-1-0.exe

____________________________

文件操作

文件: c:\users\XXX\downloads\po0015012081-1-0\ po0015012081-1-0.exe 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\Sandbox_XXX_DefaultBox\user\current\Software\Microsoft\ Windows NT, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_XXX_DefaultBox\MACHINE\Software\Microsoft\ WindowsRuntime, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_XXX_DefaultBox\MACHINE\Software\Classes\ ActivatableClasses, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_XXX_DefaultBox\machine\Software\Microsoft\Windows\CurrentVersion\ Explorer, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\SANDBOX_XXX_DEFAULTBOX\user\current_classes\ ActivatableClasses, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_XXX_DefaultBox\machine\Software\Policies\Microsoft\ Cryptography, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\SANDBOX_XXX_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap->ProxyBypass:1, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\SANDBOX_XXX_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap->IntranetName:1, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\SANDBOX_XXX_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap->UNCAsIntranet:1, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\SANDBOX_XXX_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap->AutoDetect:0, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\Sandbox_XXX_DefaultBox\machine\Software\Microsoft\ Windows NT, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\SANDBOX_XXX_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\ Content->CachePrefix, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\SANDBOX_XXX_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\ Cookies->CachePrefix:Cookie:, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\SANDBOX_XXX_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\ History->CachePrefix:Visited:, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\Sandbox_XXX_DefaultBox\Machine\Software\Classes\CLSID\ {0358B920-0AC7-461F-98F4-58E32CD89148}, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\SANDBOX_XXX_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\ Internet Settings->ProxyEnable:0, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\SANDBOX_XXX_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ Connections->SavedLegacySettings:..., 注册表配置单元: 64 位 已修复
____________________________

网络操作

事件: 网络活动 (执行者 c:\users\XXX\downloads\po0015012081-1-0\po0015012081-1-0.exe, PID:4876) 未采取操作
____________________________

系统设置操作

事件: 浏览器进程启动 (执行者 c:\users\XXX\downloads\po0015012081-1-0\po0015012081-1-0.exe, PID:4876) 未采取操作
(执行者 c:\users\XXX\downloads\po0015012081-1-0\po0015012081-1-0.exe, PID:4876) 未采取操作
事件: 进程启动: c:\users\XXX\downloads\po0015012081-1-0\ po0015012081-1-0.exe, PID:4876 (执行者 c:\users\XXX\downloads\po0015012081-1-0\po0015012081-1-0.exe, PID:4876) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

aboringman

NS：

扫描：miss；

双击：SONAR击杀之！

文件名: po0015012081-1-0.exe
威胁名称: SONAR.Heuristic.120
完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2015/12/2 ( 18:59:55 )

上次使用时间 
2015/12/2 ( 18:59:55 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


po0015012081-1-0.exe 威胁名称: SONAR.Heuristic.120
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
360zip.exe

创建的文件:
po0015012081-1-0.exe

____________________________

文件操作

文件: c:\Users\Killer\Desktop\ po0015012081-1-0.exe 威胁已删除
文件: c:\sandbox\killer\defaultbox\user\current\appdata\local\temp\ lol.bin 威胁已删除
文件: c:\sandbox\killer\defaultbox\user\current\appdata\local\temp\ up.exe 威胁已删除
文件: c:\sandbox\killer\defaultbox\user\current\appdata\local\temp\ r.txt 威胁已删除
文件: c:\sandbox\killer\defaultbox\user\current\appdata\local\temp\ lol2.bin 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\Sandbox_Killer_DefaultBox\machine\system\CurrentControlSet\ Control 不需要操作
注册表更改: HKEY_USERS\Sandbox_Killer_DefaultBox\machine\system\CurrentControlSet\Control\ NetworkProvider 不需要操作
注册表更改: HKEY_USERS\Sandbox_Killer_DefaultBox\machine\system\CurrentControlSet\Control\NetworkProvider\ HwOrder 不需要操作
注册表更改: HKEY_USERS\SANDBOX_KILLER_DEFAULTBOX\user\current_classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache->C:\Users\Killer\Desktop\ PO0015012081-1-0.exe 不需要操作
注册表更改: HKEY_USERS\Sandbox_Killer_DefaultBox\user\current\Software\Microsoft\Windows\CurrentVersion\ Internet Settings 不需要操作
注册表更改: HKEY_USERS\Sandbox_Killer_DefaultBox\user\current\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap 不需要操作
注册表更改: HKEY_USERS\Sandbox_Killer_DefaultBox\machine\Software\Microsoft\Windows\CurrentVersion\ Internet Settings 不需要操作
注册表更改: HKEY_USERS\Sandbox_Killer_DefaultBox\machine\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap 不需要操作
注册表更改: HKEY_USERS\SANDBOX_KILLER_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap->UNCAsIntranet 不需要操作
注册表更改: HKEY_USERS\SANDBOX_KILLER_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap->AutoDetect 不需要操作
注册表更改: HKEY_USERS\SANDBOX_KILLER_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap->UNCAsIntranet:0 不需要操作
注册表更改: HKEY_USERS\SANDBOX_KILLER_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap->AutoDetect:1 不需要操作
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\killer\desktop\po0015012081-1-0.exe, PID:2276) 未采取操作
(执行者 c:\users\killer\desktop\po0015012081-1-0.exe, PID:2276) 未采取操作
事件: 进程启动: c:\Users\Killer\Desktop\ po0015012081-1-0.exe, PID:5448 (执行者 c:\users\killer\desktop\po0015012081-1-0.exe, PID:2276) 未采取操作
事件: 进程启动 (执行者 c:\users\killer\desktop\po0015012081-1-0.exe, PID:5448) 未采取操作
事件: 进程启动: c:\Users\Killer\Desktop\ po0015012081-1-0.exe, PID:2276 (执行者 c:\users\killer\desktop\po0015012081-1-0.exe, PID:2276) 未采取操作
(执行者 c:\users\killer\desktop\po0015012081-1-0.exe, PID:5448) 未采取操作
事件: 进程启动: c:\Users\Killer\Desktop\ po0015012081-1-0.exe, PID:5448 (执行者 c:\users\killer\desktop\po0015012081-1-0.exe, PID:5448) 未采取操作
____________________________

可疑操作

事件: 击键捕获 (执行者 c:\users\killer\desktop\po0015012081-1-0.exe, PID:5448) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

AVG：

扫描：miss；

双击：IDP无反应，miss。

挥泪斩情思

dr.web miss