一个可疑文件求分析（急）

显示全部楼层 · 发表于 2017-3-11 11:02:05

求助小伙伴们帮我分析一下这个是什么东西还有数字签名，下载液晶电视机电路图纸下回来的看见有数字签名就点了

过fscs扫描过DG，帮我看看这玩意都干了什么
文件有5m放网盘了http://pan.baidu.com/s/1boFOTen

显示全部楼层 · 发表于 2017-3-11 11:46:20

文件名: telefunkentfled32s6_schema_pdf.exe
威胁名称: Heur.AdvML.B完整路径: c:\users\desktop\telefunkentfled32s6_schema_pdf.exe

____________________________

____________________________

在电脑上
2017/3/11 ( 11:43:58 )

上次使用时间
2017/3/11 ( 11:45:58 )

启动项
否

已启动
否

威胁类型: 启发式病毒。根据恶意软件启发式技术检测威胁。

____________________________

telefunkentfled32s6_schema_pdf.exe 威胁名称: Heur.AdvML.B
定位

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
telefunkentfled32s6_schema_pdf.exe

____________________________

文件操作

文件: c:\users\desktop\ telefunkentfled32s6_schema_pdf.exe 已删除
____________________________

文件指纹 - SHA:
a5651ccd0c3a02b62eb343230de0953a6ea706bed5da09b68f7503060beb5987
文件指纹 - MD5:
384245d4a8bcad205831f13aeb1baafd

显示全部楼层 · 发表于 2017-3-11 12:02:16

https://www.maldun.com/analysis/ ... UwNmRzZmFzZGZhc2Rm/
反debug, 反虚拟机，处了读写，虚拟机里没触发什么特别的行为

显示全部楼层 · 发表于 2017-3-11 12:10:56

青衣染雪发表于 2017-3-11 11:46
文件名: telefunkentfled32s6_schema_pdf.exe
威胁名称: Heur.AdvML.B完整路径: c:%users\desktop\telefun ...

谢谢Heur.AdvML.B是什么类型呢

显示全部楼层 · 发表于 2017-3-11 12:14:00

魔卡卡发表于 2017-3-11 12:02
https://www.maldun.com/analysis/YXNkZmRzZmFkc2Y4NDUwNmRzZmFzZGZhc2Rm/
反debug, 反虚拟机，处了读写， ...

谢谢还会反虚拟机啊会不会有延迟发作的动作没发现

显示全部楼层 · 发表于 2017-3-11 12:49:43

Antivirus Result Update
Avira (no cloud) TR/Dropper.Gen 20170311
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9989 20170309
DrWeb Trojan.Click2.9790 20170311
Endgame malicious (high confidence) 20170222
Ikarus PUA.FileTour 20170310
Invincea generic.a 20170203
McAfee Artemis!384245D4A8BC 20170311
McAfee-GW-Edition Artemis 20170311
Panda Trj/Genetic.gen 20170309
Rising Malware.Generic.5!tfe (thunder:5:DJnKxpt14SU) 20170311
Symantec ML.Attribute.HighConfidence 20170310

显示全部楼层 · 发表于 2017-3-11 13:08:20

本帖最后由 Dolby123 于 2017-3-11 13:09 编辑

avast

malware-gen

https://www.hybrid-analysis.com/ ... 7?environmentId=100

显示全部楼层 · 发表于 2017-3-11 13:44:26

动作太多导致我的沙盘跑了10分钟才分析完……
复制自身、添加自启动、反虚拟机，http request中有
hxxp://xtnmailru.cdnmail.ru/go_chhp_actual_2.7z
下载下来解压是一个fareit的毒

这么一系列明显的动作hybrid-analysis的打分才70/100太说不过去了

显示全部楼层 · 发表于 2017-3-12 10:19:49

B100D1E55 发表于 2017-3-11 13:44
动作太多导致我的沙盘跑了10分钟才分析完……
复制自身、添加自启动、反虚拟机，http request中有
hxxp:/ ...

我一直没找到启动项，是不是我关快了没来的及加启动项

显示全部楼层 · 发表于 2017-3-12 11:22:40

NS02 发表于 2017-3-12 10:19
我一直没找到启动项，是不是我关快了没来的及加启动项

检查有没有HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\mailruhomesearch
检查计划任务有没有newspagesnethowknowsm
如果没有可能是衍生物没添加成功

[可疑文件] 一个可疑文件求分析（急）