查看: 2754|回复: 13
收起左侧

[可疑文件] Detection ratio: 6 / 54 注入msiexec.exe,过SSF

[复制链接]
墨家小子
发表于 2015-12-3 21:37:42 | 显示全部楼层 |阅读模式
https://www.virustotal.com/en/fi ... nalysis/1449149491/
SHA256:        e2c857f506eea6f01c40239992480c90f92d7d4c69ae594141cfc8a8a4577b15
File name:        e2c857f506eea6f01c40239992480c90f92d7d4c69ae594141cfc8a8a4577b15.exe
Detection ratio:        6 / 54
Analysis date:        2015-12-03 13:31:31 UTC ( 2 minutes ago )













本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
yzt1004
发表于 2015-12-3 21:46:24 | 显示全部楼层
emsisoft





还没看到注入msiexec.exe就被杀了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
aboringman
发表于 2015-12-3 21:47:49 | 显示全部楼层

Emsisoft测主防还是断网测较准确,不然都是云拉黑没什么意思
XywCloud
发表于 2015-12-3 21:55:12 | 显示全部楼层
BAV启发杀
yzt1004
发表于 2015-12-3 21:58:42 | 显示全部楼层
aboringman 发表于 2015-12-3 21:47
Emsisoft测主防还是断网测较准确,不然都是云拉黑没什么意思

我本来就不是在单测它的主防

我是在秀汉化

它的云现在不误报我电脑上的罕见程序了,所以它云报恶意程序,我没意见

测它主防也不用断网,设置-隐私那里关掉自动隔离就可以了

aboringman
发表于 2015-12-3 22:14:21 | 显示全部楼层
yzt1004 发表于 2015-12-3 21:58
我本来就不是在单测它的主防

我是在秀汉化

直接断云,就能够测本地主防了,不用改设置,哈哈
aboringman
发表于 2015-12-3 22:17:30 | 显示全部楼层
AVG:

扫描:miss;

双击:实机双击(不入沙),样本成功注入meisxec.exe,后调用cmd.exe时被IDP击杀。

"";"IDP.ARES.Generic, C:\Users\Killer\Desktop\新建文件夹\e2c857f506eea6f01c40239992480c90f92d7d4c69ae594141cfc8a8a4577b15.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2015/12/3, 21:56:48"
"";", C:\Users\Killer\Desktop\新建文件夹\e2c857f506eea6f01c40239992480c90f92d7d4c69ae594141cfc8a8a4577b15.exe";"Object was blocked";"Process";"2015/12/3, 21:56:48"
"";", C:\Users\Killer\Desktop\新建文件夹\e2c857f506eea6f01c40239992480c90f92d7d4c69ae594141cfc8a8a4577b15.exe";"Object was blocked";"Process";"2015/12/3, 21:56:48"
"";", C:\Users\Killer\Desktop\新建文件夹\e2c857f506eea6f01c40239992480c90f92d7d4c69ae594141cfc8a8a4577b15.exe";"Object was blocked";"Process";"2015/12/3, 21:56:48"
"";", C:\Windows\System32\msiexec.exe";"Object was blocked";"Process";"2015/12/3, 21:56:48"
"";", C:\Windows\System32\cmd.exe";"Object was blocked";"Process";"2015/12/3, 21:56:48"
pal家族
发表于 2015-12-3 22:19:26 | 显示全部楼层
卡巴 拉黑
03.12.2015 22.19.10;检测到的对象(文件)已删除。;D:\360安全浏览器下载\e2c857f506eea6f01c40239992480c90f92d7d4c69ae594141cfc8a8a4577b15\e2c857f506eea6f01c40239992480c90f92d7d4c69ae594141cfc8a8a4577b15.exe;WinRAR 压缩文件管理器;D:\360安全浏览器下载\e2c857f506eea6f01c40239992480c90f92d7d4c69ae594141cfc8a8a4577b15\e2c857f506eea6f01c40239992480c90f92d7d4c69ae594141cfc8a8a4577b15.exe;12/03/2015 22:19:10;UDS:DangerousObject.Multi.Generic
挥泪斩情思
发表于 2015-12-3 22:31:30 | 显示全部楼层
pal家族 发表于 2015-12-3 22:19
卡巴 拉黑
03.12.2015 22.19.10;检测到的对象(文件)已删除。;D:\360安全浏览器下载\e2c857f506eea6f01c4 ...

UDS拉黑的样本,拿来双击的话,PDM也会拦截的吧?

PDM应该是有和云联动的吧?
pal家族
发表于 2015-12-3 22:37:55 | 显示全部楼层
挥泪斩情思 发表于 2015-12-3 22:31
UDS拉黑的样本,拿来双击的话,PDM也会拦截的吧?

PDM应该是有和云联动的吧?

是的,不仅和云,还和本地特征码联动。。。

评分

参与人数 1人气 +1 收起 理由
挥泪斩情思 + 1 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 13:00 , Processed in 0.134184 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表