收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 File name: 14845……d5482.scr Detection ratio: 27 / ...
12下一页
返回列表 发新帖
查看: 4694|回复: 19
收起左侧

[可疑文件] File name: 14845……d5482.scr Detection ratio: 27 / 54 JS.Ransom32 双击怂了?

[复制链接]
墨家小子
发表于 2016-1-12 09:38:07 | 显示全部楼层 |阅读模式
本帖最后由 墨家小子 于 2016-1-12 09:51 编辑

SHA256:        148458f5b9b2eb4f514faf03abce621f804ab60e2fe642870823a32456ed5482
File name:        148458f5b9b2eb4f514faf03abce621f804ab60e2fe642870823a32456ed5482.scr
Detection ratio:        27 / 54
Analysis date:        2016-01-12 01:35:09 UTC ( 0 minutes ago )
https://www.virustotal.com/en/fi ... nalysis/1452562509/

http://1000eb.com/1iivm

认怂就开着监控玩~~好吧?走到底才拦截加密的才是好东西,是不?看看人家HMPA指名道姓的说不服,Mitigation   CryptoGuard


[mw_shl_code=css,true]Mitigation   CryptoGuard

Platform     6.3.9600/x64 06_3d
PID          8132
Application  C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe

Filename     C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe

C:\UserGuidePDF\pdf\ar-SA.pdf
C:\UserGuidePDF\pdf\ar-SA-LLW.pdf
C:\UserGuidePDF\pdf\ar-SA-GEL.pdf
[/mw_shl_code]

[mw_shl_code=css,true]2016/1/12 9:39:16,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\Desktop\1\148458f5b9b2eb4f514faf03abce621f804ab60e2fe642870823a32456ed5482.scr" /S)

2016/1/12 9:39:25,C:\Users\AA\Desktop\1\148458f5b9b2eb4f514faf03abce621f804ab60e2fe642870823a32456ed5482.scr,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData\Local\Temp\RarSFX0\chrome.exe" i)

2016/1/12 9:39:32,C:\Users\AA\AppData\Local\Temp\RarSFX0\chrome.exe,54,Allowed ;接受入站网络数据包

2016/1/12 9:39:33,C:\Users\AA\AppData\Local\Temp\RarSFX0\chrome.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData\Local\Temp\RarSFX0\chrome.exe" --type=gpu-process --channel="1516.0.404252580\1366995049" --no-sandbox --supports-dual-gpus=false --gpu-driver-bug-workarounds=1,18,40 --gpu-vendor-id=0x8086 --gpu-device-id=0x161e --gpu-driver-vendor="Intel)

2016/1/12 9:39:35,C:\Users\AA\AppData\Local\Temp\RarSFX0\chrome.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData\Local\Temp\RarSFX0\chrome.exe" --type=renderer --no-sandbox --enable-deferred-image-decoding --lang=zh-CN --extension-process --nodejs --working-directory="C:\Users\AA\AppData\Local\Temp\nw1516_779" --enable-pinch --device-scale-factor=2.5 )

2016/1/12 9:39:36,C:\Users\AA\AppData\Local\Temp\RarSFX0\chrome.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData\Local\Temp\RarSFX0\chrome.exe" --type=renderer --no-sandbox --enable-deferred-image-decoding --lang=zh-CN --extension-process --nodejs --working-directory="C:\Users\AA\AppData\Local\Temp\nw1516_779" --enable-pinch --device-scale-factor=2.5 )

2016/1/12 9:39:39,C:\Users\AA\AppData\Local\Temp\RarSFX0\chrome.exe,53,Allowed ;执行应用程序 (s.exe "/F:C:\Users\AA\Start Menu\Startup\ChromeService.lnk" /A:C "/T:C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe" "/W:C:\Users\AA\AppData\Roaming\Chrome Browser" /P:l "/D:Chrome Apps Service")

2016/1/12 9:39:40,C:\Users\AA\AppData\Local\Temp\RarSFX0\chrome.exe,53,Allowed ;执行应用程序 (s.exe "/F:C:\Users\AA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeService.lnk" /A:C "/T:C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe" "/W:C:\Users\AA\AppData\Roaming\Chrome Browser" /P:l "/D:Chrome Apps Service")

2016/1/12 9:39:44,C:\Users\AA\AppData\Local\Temp\RarSFX0\s.exe,41,Blocked ;修改受保护的文件 (C:\Users\AA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeService.lnk)
2016/1/12 9:39:47,C:\Users\AA\AppData\Local\Temp\RarSFX0\chrome.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe" l)

2016/1/12 9:39:52,C:\Windows\System32\svchost.exe,53,Allowed ;执行应用程序 (C:\windows\system32\DllHost.exe /Processid:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5})

2016/1/12 9:39:52,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\windows\system32\CompMgmtLauncher.exe" )

2016/1/12 9:40:04,C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe,54,Allowed ;接受入站网络数据包

2016/1/12 9:40:06,C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe" --type=gpu-process --channel="4196.0.422957202\1562824583" --no-sandbox --supports-dual-gpus=false --gpu-driver-bug-workarounds=1,18,40 --gpu-vendor-id=0x8086 --gpu-device-id=0x161e --gpu-driver-vendor="I)

2016/1/12 9:40:07,C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe" --type=renderer --no-sandbox --enable-deferred-image-decoding --lang=zh-CN --extension-process --nodejs --working-directory="C:\Users\AA\AppData\Local\Temp\nw4196_12010" --enable-pinch --device-scale-facto)

2016/1/12 9:40:09,C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe" --type=renderer --no-sandbox --enable-deferred-image-decoding --lang=zh-CN --extension-process --nodejs --working-directory="C:\Users\AA\AppData\Local\Temp\nw4196_12010" --enable-pinch --device-scale-facto)

2016/1/12 9:40:10,C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe" q 8132)

2016/1/12 9:40:11,C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData\Roaming\Chrome Browser\rundll32.exe" -f chrome)

2016/1/12 9:40:11,C:\Users\AA\AppData\Roaming\Chrome Browser\rundll32.exe,53,Allowed ;执行应用程序 (\??\C:\windows\system32\conhost.exe 0xffffffff)

2016/1/12 9:40:11,C:\Windows\System32\conhost.exe,40,Allowed ;以修改权限打开进程或线程 (rundll32.exe(pid=6272))

2016/1/12 9:40:12,C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe,54,Allowed ;接受入站网络数据包

2016/1/12 9:40:14,C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe" --type=gpu-process --channel="7984.0.45293334\1142421651" --no-sandbox --supports-dual-gpus=false --gpu-driver-bug-workarounds=1,18,40 --gpu-vendor-id=0x8086 --gpu-device-id=0x161e --gpu-driver-vendor="In)

2016/1/12 9:40:17,C:\Users\AA\AppData\Roaming\Chrome Browser\rundll32.exe,54,Allowed ;接受入站网络数据包

2016/1/12 9:40:19,C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe" --type=renderer --no-sandbox --enable-deferred-image-decoding --lang=zh-CN --extension-process --nodejs --working-directory="C:\Users\AA\AppData\Local\Temp\nw7984_4847" --enable-pinch --device-scale-factor)

2016/1/12 9:40:21,C:\Users\AA\AppData\Roaming\Chrome Browser\rundll32.exe,48,Allowed ;出站网络访问

2016/1/12 9:40:22,C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe" --type=renderer --no-sandbox --enable-deferred-image-decoding --lang=zh-CN --extension-process --nodejs --working-directory="C:\Users\AA\AppData\Local\Temp\nw7984_4847" --enable-pinch --device-scale-factor)

2016/1/12 9:40:34,C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe,48,Allowed ;出站网络访问

2016/1/12 9:40:43,C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe,53,Allowed ;执行应用程序 (cmd)

2016/1/12 9:41:03,C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe,48,Allowed ;出站网络访问

2016/1/12 9:41:06,C:\Users\AA\AppData\Roaming\Chrome Browser\chrome.exe,48,Allowed ;出站网络访问
[/mw_shl_code]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
qftest + 1 版区有你更性感: )
驭龙 + 1 HMPA强大啊

查看全部评分

回复

举报

胖福
发表于 2016-1-12 10:13:08 | 显示全部楼层
文件名: 148458f5b9b2eb4f514faf03abce621f804ab60e2fe642870823a32456ed5482.scr
威胁名称: Trojan.Ransomcrypt.Y完整路径: f:\norton样本\临时收集\148458f5b9b2eb4f514faf03abce621f804ab60e2fe642870823a32456ed5482.scr

____________________________

____________________________


在电脑上的创建时间 
2016-1-12 ( 09:48:21 )

上次使用时间 
2016-1-12 ( 09:48:21 )

启动项目 


已启动 


威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


148458f5b9b2eb4f514faf03abce621f804ab60e2fe642870823a32456ed5482.scr 威胁名称: Trojan.Ransomcrypt.Y
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: f:\norton样本\临时收集\ 148458f5b9b2eb4f514faf03abce621f804ab60e2fe642870823a32456ed5482.scr 已阻止
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
回复

举报

莒县小哥
发表于 2016-1-12 10:15:56 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

轩夏
发表于 2016-1-12 10:31:29 | 显示全部楼层
猎豹 Win32.Troj.Generic_a.a.(kcloud)
回复

举报

墨家小子
 楼主| 发表于 2016-1-12 10:36:58 | 显示全部楼层
胖福 发表于 2016-1-12 10:13
文件名: 148458f5b9b2eb4f514faf03abce621f804ab60e2fe642870823a32456ed5482.scr
威胁名称: Trojan.Ranso ...

可惜 入库了
回复

举报

胖福
发表于 2016-1-12 10:38:14 | 显示全部楼层
墨家小子 发表于 2016-1-12 10:36
可惜 入库了

要是按照GEN入库的改MD5也行,这个就没辙了!
回复

举报

275751198
发表于 2016-1-12 12:40:51 | 显示全部楼层
类型:木马-Malware.Radar01.Gen
描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。
扫描引擎:云安全引擎
文件路径:D:\邮件\新建文件夹\新建文件夹 (2)\新建文件夹\新建文件夹 (3)\新建文件夹 (5)\搬运中转站\148458f5b9b2eb4f514faf03abce621f804ab60e2fe642870823a32456ed5482.exe
文件大小:22.44M (23,530,686 字节)
文件指纹(MD5):09f21eefaf8f52496d4e8b06920fe6fa
处理建议:隔离文件
回复

举报

MrDeep
发表于 2016-1-12 12:53:06 | 显示全部楼层
未检测到威胁
沙盘双击后


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

a445441
发表于 2016-1-12 16:22:33 | 显示全部楼层
微点拦截
回复

举报

bbszy
发表于 2016-1-12 22:01:02 | 显示全部楼层
MrDeep 发表于 2016-1-12 12:53
未检测到威胁
沙盘双击后

sophos有行为拦截?
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-19 09:48 , Processed in 0.128029 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表