Detection ratio: 2 / 54 31ad1da7cdcccaa7103ded6cb5426984.exe 我也是醉了

显示全部楼层 · 发表于 2015-12-3 09:47:16

https://www.virustotal.com/en/fi ... nalysis/1449106353/
SHA256: 6fb74bfd8bea6e98acc01f70997505a074660873cfd228d909cc8818b6cf952d
File name: 31ad1da7cdcccaa7103ded6cb5426984.exe
Detection ratio: 2 / 54
Analysis date: 2015-12-03 01:32:33 UTC ( 0 minutes ago )

2015/12/3 9:36:50,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AAAAA\Desktop\3333\31ad1da7cdcccaa7103ded6cb5426984.exe" )

2015/12/3 9:37:02,C:\Users\AAAAA\Desktop\3333\31ad1da7cdcccaa7103ded6cb5426984.exe,48,Allowed ;出站网络访问

2015/12/3 9:37:34,C:\Users\AAAAA\Desktop\3333\31ad1da7cdcccaa7103ded6cb5426984.exe,53,Allowed ;执行应用程序 (cmd.exe /K "C:\PROGRA~3\TSTheme_86.dll")

2015/12/3 9:37:37,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (C:\PROGRA~3\TSTheme_86.dll)

2015/12/3 9:37:49,C:\PROGRA~3\TSTheme_86.dll,48,Allowed ;出站网络访问

2015/12/3 9:38:24,C:\PROGRA~3\TSTheme_86.dll,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,SearchUI_86)

2015/12/3 9:38:53,C:\PROGRA~3\TSTheme_86.dll,53,Allowed ;执行应用程序 ("C:\Windows\System32\cmd.exe" /K "C:\Users\AAAAA\AppData\LocalLow\appserverai_86.exe")

2015/12/3 9:38:56,C:\Windows\System32\cmd.exe,53,Allowed ;执行应用程序 (C:\Users\AAAAA\AppData\LocalLow\appserverai_86.exe)

2015/12/3 9:39:08,C:\Users\AAAAA\AppData\LocalLow\appserverai_86.exe,48,Allowed ;出站网络访问

2015/12/3 9:39:48,C:\Users\AAAAA\AppData\LocalLow\appserverai_86.exe,26,Blocked ;修改受保护的注册表键 (HKLM\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Run,MSchedExe_86)
2015/12/3 9:39:51,C:\Users\AAAAA\AppData\LocalLow\appserverai_86.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,MSchedExe_86)

2015/12/3 9:40:08,C:\Users\AAAAA\AppData\LocalLow\appserverai_86.exe,53,Allowed ;执行应用程序 ("C:\Windows\System32\cmd.exe" /K "C:\Users\AAAAA\AppData\LocalLow\openssl_86.exe")

2015/12/3 9:40:10,C:\Windows\System32\cmd.exe,53,Allowed ;执行应用程序 (C:\Users\AAAAA\AppData\LocalLow\openssl_86.exe)

2015/12/3 9:40:22,C:\Users\AAAAA\AppData\LocalLow\openssl_86.exe,48,Allowed ;出站网络访问

2015/12/3 9:40:57,C:\Users\AAAAA\AppData\LocalLow\openssl_86.exe,26,Blocked ;修改受保护的注册表键 (HKLM\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Run,ovftool_86)
2015/12/3 9:41:00,C:\Users\AAAAA\AppData\LocalLow\openssl_86.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,ovftool_86)

2015/12/3 9:41:18,C:\Users\AAAAA\AppData\LocalLow\openssl_86.exe,53,Allowed ;执行应用程序 ("C:\Windows\System32\cmd.exe" /K "C:\Users\AAAAA\AppData\LocalLow\aspnet_wp_86.exe")

2015/12/3 9:41:20,C:\Windows\System32\cmd.exe,53,Allowed ;执行应用程序 (C:\Users\AAAAA\AppData\LocalLow\aspnet_wp_86.exe)

2015/12/3 9:41:31,C:\Users\AAAAA\AppData\LocalLow\aspnet_wp_86.exe,48,Allowed ;出站网络访问

显示全部楼层 · 发表于 2015-12-3 09:48:37

显示全部楼层 · 发表于 2015-12-3 10:00:42

本帖最后由驭龙于 2015-12-3 10:06 编辑

好像跟之前的一个样本重复

显示全部楼层 · 发表于 2015-12-3 10:08:49

驭龙发表于 2015-12-3 10:00
好像跟之前的一个样本重复

看看MD5

显示全部楼层 · 发表于 2015-12-3 10:12:09

墨家小子发表于 2015-12-3 10:08
看看MD5

看文件大小就知道，不用看哈希也行，不过奇怪的是跟http://bbs.kafan.cn/thread-1867365-1-1.html
文件名完全一模一样

显示全部楼层 · 发表于 2015-12-3 10:13:27

驭龙发表于 2015-12-3 10:12
看文件大小就知道，不用看哈希也行，不过奇怪的是跟http://bbs.kafan.cn/thread-1867365-1-1.html
文件 ...

贴出来你手里的那个文件的MD5

显示全部楼层 · 发表于 2015-12-3 10:17:31

墨家小子发表于 2015-12-3 10:13
贴出来你手里的那个文件的MD5

我发哈希1和哈希256吧

显示全部楼层 · 发表于 2015-12-3 10:19:47

驭龙发表于 2015-12-3 10:17
我发哈希1和哈希256吧

你看没看我一楼的SHA256: 6fb74bfd8bea6e98acc01f70997505a074660873cfd228d909cc8818b6cf952d

显示全部楼层 · 发表于 2015-12-3 10:21:37

墨家小子发表于 2015-12-3 10:19
你看没看我一楼的SHA256: 6fb74bfd8bea6e98acc01f70997505a074660873cfd228d909cc8818b6cf952d

其实我5楼就说不是一个样本了，只是奇怪为啥跟之前的样本名一模一样，哈

显示全部楼层 · 发表于 2015-12-3 10:22:24

驭龙发表于 2015-12-3 10:21
其实我5楼就说不是一个样本了，只是奇怪为啥跟之前的样本名一模一样，哈

我不是来聊天的

[可疑文件] Detection ratio: 2 / 54 31ad1da7cdcccaa7103ded6cb5426984.exe 我也是醉了

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源