File name: 92be…1e0a.exe Detection ratio: 4 / 53 记录键盘输入、监视剪贴版变更

显示全部楼层 · 发表于 2015-12-25 10:45:00

本帖最后由墨家小子于 2015-12-25 10:46 编辑

SHA256: 92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a
File name: 92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe
Detection ratio: 4 / 53
Analysis date: 2015-12-25 02:29:05 UTC ( 1 minute ago )
https://www.virustotal.com/en/fi ... nalysis/1451010545/

2015/12/25 10:38:37,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AAA\Desktop\1\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe" )

2015/12/25 10:38:38,C:\Users\AAA\Desktop\1\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe,53,Allowed ;执行应用程序 (C:\Users\AAA\Desktop\1\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe)

2015/12/25 10:38:40,C:\Users\AAA\Desktop\1\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,System)

2015/12/25 10:38:44,C:\Users\AAA\Desktop\1\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe,53,Allowed ;执行应用程序 ("C:\Windows\System32\cmd.exe" /k attrib "C:\Users\AAA\Desktop\1\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe" +s +h)

2015/12/25 10:38:47,C:\Users\AAA\Desktop\1\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe,53,Allowed ;执行应用程序 ("C:\Windows\System32\cmd.exe" /k attrib "C:\Users\AAA\Desktop\1" +s +h)

2015/12/25 10:38:51,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (attrib  "C:\Users\AAA\Desktop\1\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe" +s +h)

2015/12/25 10:38:53,C:\Users\AAA\Desktop\1\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,System)

2015/12/25 10:38:56,C:\Users\AAA\Desktop\1\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe,53,Allowed ;执行应用程序 (notepad)

2015/12/25 10:38:59,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (attrib  "C:\Users\AAA\Desktop\1" +s +h)

2015/12/25 10:39:02,C:\Users\AAA\Desktop\1\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe,40,Blocked ;以修改权限打开进程或线程 (notepad.exe(pid=7732))

2015/12/25 10:39:03,C:\Users\AAA\Desktop\1\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe,11,Blocked ;记录键盘输入

2015/12/25 10:39:05,C:\Users\AAA\Desktop\1\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,System)

2015/12/25 10:39:06,C:\Users\AAA\Desktop\1\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe,24,Blocked ;监视剪贴版变更

2015/12/25 10:39:08,C:\Users\AAA\Desktop\1\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe,50,Allowed ;使用 DNS 解析服务访问网络

2015/12/25 10:39:14,C:\Users\AAA\Desktop\1\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe,48,Blocked ;出站网络访问
建立出站网络连接 (TCP)
远程地址=androidtutku.ddns.net(78.163.136.143)  远程端口=1604

2015/12/25 10:39:17,C:\Users\AAA\Desktop\1\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,System)

显示全部楼层 · 发表于 2015-12-25 11:07:24

ESET扫描miss

显示全部楼层 · 发表于 2015-12-25 11:34:15

然后我的伞就自己收起来了，报错
后来又好了
miss

显示全部楼层 · 发表于 2015-12-25 11:42:22

卡巴不让下载

25.12.2015 11.41.39;下载被阻止;https://att.kafan.cn/forum.php?mo ... 01771cc1e0a.exe;360安全浏览器;木马程序;12/25/2015 11:41:39

显示全部楼层 · 发表于 2015-12-25 11:57:16

开开心心卖手机发表于 2015-12-25 11:34
然后我的伞就自己收起来了，报错
后来又好了
miss

你是双击吗？我这里隔离区右键已经拉黑了

显示全部楼层 · 发表于 2015-12-25 12:06:36

samlin01 发表于 2015-12-25 11:57
你是双击吗？我这里隔离区右键已经拉黑了

我没有双击，只是右键解压
不要吓我，难道运行了

显示全部楼层 · 发表于 2015-12-25 12:19:42

继续运行

文件名: 92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe
威胁名称: SONAR.DarkComet!gen2完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间
2015/12/25 ( 12:17:23 )

上次使用时间
2015/12/25 ( 12:17:23 )

启动项目
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe 威胁名称: SONAR.DarkComet!gen2
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

https://att.kafan.cn/forum.php?mo ... DkwNjM2MXwxODcyMDgx
已下载文件 92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe 威胁名称: SONAR.DarkComet!gen2
从 att.kafan.cn
来源: 外部介质

winrar.exe

创建的文件:
92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe

____________________________

文件操作

文件: c:\users\AA\desktop\11\ 92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe 威胁已删除
____________________________

系统设置操作

事件: 浏览器进程启动 (执行者 c:\users\AA\desktop\11\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe, PID:8524) 未采取操作
事件: 进程启动: c:\users\AA\desktop\11\ 92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe, PID:8816 (执行者 c:\users\AA\desktop\11\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe, PID:8524) 未采取操作
事件: 浏览器进程启动 (执行者 c:\users\AA\desktop\11\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe, PID:8816) 未采取操作
事件: 进程启动: c:\users\AA\desktop\11\ 92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe, PID:8524 (执行者 c:\users\AA\desktop\11\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe, PID:8524) 未采取操作
事件: 进程启动: c:\users\AA\desktop\11\ 92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe, PID:8816 (执行者 c:\users\AA\desktop\11\92bede1e22a90f8b7de899949099405022d85c6e30838c2c76a0c01771cc1e0a.exe, PID:8816) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2015-12-25 17:38:18

gti被秒了....

显示全部楼层 · 发表于 2015-12-25 21:41:30

显示全部楼层 · 发表于 2015-12-25 21:57:38

刚刚重测红伞杀了
[mw_shl_code=xml,true]包含病毒或恶意程序“TR/AD.Fynloski.Y.181”[trojan][/mw_shl_code]

[可疑文件] File name: 92be…1e0a.exe Detection ratio: 4 / 53 记录键盘输入、监视剪贴版变更

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源