专注好样本（1X）

显示全部楼层 · 发表于 2016-6-20 20:48:39

密码：infected

首先在这里说明，哈勃和火绒无法分析出行为，我这里引用魔盾和B超的行为分析：
魔盾安全分析：https://www.maldun.com/analysis/ ... U1MmRzZmFzZGZhc2Rm/
文件B超：https://www.b-chao.com/index.php ... FE4205BEA/ajax/demo

显示全部楼层 · 发表于 2016-6-20 20:55:11

本帖最后由 hx1997 于 2016-6-20 22:48 编辑

ESET - is OK

病毒库 13677 (20160620) 杀
C:\Users\Lucifer\Downloads\缉毒卫队.1x - Win32/TrojanDownloader.Wauchos.BD 特洛伊木马

运行高级内存扫描杀

显示全部楼层 · 发表于 2016-6-20 20:55:39

NS未报，是禁止信誉的，毕竟信誉杀没意思，所以我只是测一下扫描，双击未测，没有环境

显示全部楼层 · 发表于 2016-6-20 21:00:16

文件名: 缉毒卫队.exe
威胁名称: SONAR.ProcHijack!gen1完整路径: 不可用

____________________________

____________________________

在电脑上
2016/6/20 ( 20:58:30 )

上次使用时间
2016/6/20 ( 20:58:30 )

启动项
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

缉毒卫队.exe 威胁名称: SONAR.ProcHijack!gen1
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
缉毒卫队.exe

____________________________

文件操作

文件: c:\users\administrator\desktop\ 缉毒卫队.exe 威胁已删除
____________________________

系统设置操作

事件: 浏览器进程启动 (执行者 c:\users\administrator\desktop\缉毒卫队.exe, PID:3064) 未采取操作
事件: 进程启动: c:\users\administrator\desktop\ 缉毒卫队.exe, PID:3064 (执行者 c:\users\administrator\desktop\缉毒卫队.exe, PID:3064) 未采取操作
事件: 浏览器进程启动 (执行者 c:\users\administrator\desktop\缉毒卫队.exe, PID:1748) 未采取操作
事件: 进程启动: c:\Windows\System32\ msiexec.exe, PID:1372 (执行者 c:\users\administrator\desktop\缉毒卫队.exe, PID:1748) 未采取操作
事件: 进程启动: c:\users\administrator\desktop\ 缉毒卫队.exe, PID:1748 (执行者 c:\users\administrator\desktop\缉毒卫队.exe, PID:1748) 未采取操作
____________________________

可疑操作

(执行者 c:\users\administrator\desktop\缉毒卫队.exe, PID:1748) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-6-20 21:16:25

20.06.2016 21.16.03;检测到的对象 ( 文件 ) 已删除;D:\360安全浏览器下载\缉毒卫队\缉毒卫队.1x;WinRAR 压缩文件管理器;D:\360安全浏览器下载\缉毒卫队\缉毒卫队.1x;06/20/2016 21:16:03;UDS:DangerousObject.Multi.Generic

卡巴拉黑

显示全部楼层 · 发表于 2016-6-20 21:17:32

火绒miss

显示全部楼层 · 发表于 2016-6-20 21:37:31

小红伞右键miss，放进隔离区扫描报毒，APC挺强

显示全部楼层 · 发表于 2016-6-20 21:44:24

显示全部楼层 · 发表于 2016-6-20 21:48:10

本帖最后由 qqddliu 于 2016-6-20 21:54 编辑

【1】2016-06-20 21:45:54,系统防护,自定义防护,缉毒卫队.exe触犯自定义注册表防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\缉毒卫队.exe
触犯规则：●星火●【注册表保护】〖驱动及服务〗服务相关注册表安装服务会修改此项
操作类型：创建
操作注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2016-06-20 21:44:18,系统防护,自定义防护,缉毒卫队.exe触犯自定义文件防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\缉毒卫队.exe
触犯规则：●星火●【文件保护】〖常用目录〗桌面文件夹
操作类型：创建
操作文件：C:\Documents and Settings\Administrator\桌面\
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2016-06-20 21:44:12,系统防护,自定义防护,svchost.exe触犯自定义文件防护规则, 已阻止

操作进程：C:\WINDOWS\system32\svchost.exe
触犯规则：●星火●【文件保护】〖风险目录〗阻止创建系统预读文件
操作类型：创建
操作文件：C:\WINDOWS\Prefetch\缉毒卫队.EXE-3179D972.pf
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
重启系统正常，火绒开启了防火墙的联网控制，即使自定义规则没防住也变成死马了。

显示全部楼层 · 发表于 2016-6-20 21:52:19

gdata miss

[病毒样本] 专注好样本（1X）

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源