File name: radA31C5.tmp.pif Detection ratio: 7 / 61

Dolby123

HMPA

C:\Users\test\Desktop\radA31C5.tmp.pif
      Size . . . . . . . : 442,368 bytes
      Age  . . . . . . . : 0.0 days (2017-06-02 23:48:33)
      Entropy  . . . . . : 7.3
      SHA-256  . . . . . : B56FE3C323ECA786D3803ECC428B74D339BA8DB1F924F39FBA690EF42F1CB1B8
      Product  . . . . . : Externalmapping        
      Publisher  . . . . : BlaBlaCar
      Description  . . . : Infinitely Nettcpbinding Smalltomedium Cir 5mb Quizzes
      Copyright  . . . . : © 2016  All rights reserved. BlaBlaCar
      LanguageID . . . . : 1033
    > HitmanPro  . . . . : Mal/Generic-S

a445441

运行后自动消失，没反应

欧阳宣

cylance kill

solstice1988

红伞下载时报毒

275751198

入库
360杀毒实时防护日志

时间                    防护说明                                                                  处理结果                                                        文件
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2017-06-03 20:50:54     感染型病毒(Win32/Trojan.7c0)MD5:b993e15b35bfa162438f761bb09858d6           已删除此文件，如果您发现误删，可从隔离区恢复此文件。        c:\users\administrator\desktop\rada31c5.tmp\rada31c5.exe.pif

cz88

瑞星（Rising）        Malware.Undefined!8.C        2017-06-03
卡巴斯基（Kaspersky）        Trojan-Downloader.Win32.Upatre.fyvb        2017-06-03
K7        Trojan ( 7000000c1 )        2017-06-03
火绒（Huorong）        VirTool/Kovter.p        2017-06-03

基本信息

文件名称：	radA31C5.tmp.zip
MD5：	242a449b5f95a511e884ef29b0f5f021
文件类型：	zip
上传时间：	2017-06-03 20:54:06
出品公司：	N/A
版本：	N/A
壳或编译器信息：	PACKER:UPolyX v0.5
子文件信息：	radA31C5.tmp.pifdumpFile /  b993e15b35bfa162438f761bb09858d6 /  EXE radA31C5.tmp.pif /  b993e15b35bfa162438f761bb09858d6 /  EXE

关键行为

行为描述：	直接调用系统关键API
详情信息：	Index = 0x00000042, Name: NtCreateFile, Instruction Address = 0x02029070 Index = 0x000000E2, Name: NtQueryEaFile, Instruction Address = 0x020290BE Index = 0x00000032, Name: NtClose, Instruction Address = 0x020290FD
行为描述：	直接获取CPU时钟
详情信息：	EAX = 0xfd8fa6fa, EDX = 0x0000027e
行为描述：	自删除
详情信息：	C:\Users\Administrator\AppData\Local\%temp%\b70c.exe_7zdump\radA31C5.tmp.exe
行为描述：	跨进程写入数据
详情信息：	TargetProcess = C:\Windows\System32\cmd.exe, WriteAddress = 0x00050000, Size = 0x00000020 TargetPID = 0x0000066c TargetProcess = C:\Windows\System32\cmd.exe, WriteAddress = 0x00050020, Size = 0x00000034 TargetPID = 0x0000066c TargetProcess = C:\Windows\System32\cmd.exe, WriteAddress = 0x7ffd8238, Size = 0x00000004 TargetPID = 0x0000066c
行为描述：	获取TickCount值
详情信息：	TickCount = 827859, SleepMilliseconds = 60000. TickCount = 827890, SleepMilliseconds = 60000. TickCount = 827906, SleepMilliseconds = 60000. TickCount = 827921, SleepMilliseconds = 60000.

进程行为

行为描述：	隐藏窗口创建进程
详情信息：	ImagePath = , CmdLine = "C:\Windows\system32\cmd.exe" /c "C:\Users\ADMINI~1\AppData\Local\Temp\updfc8d52e7.bat"
行为描述：	创建进程
详情信息：	[0x0000066c]ImagePath = C:\Windows\System32\cmd.exe, CmdLine = "C:\Windows\system32\cmd.exe" /c "C:\Users\ADMINI~1\AppData\Local\Temp\updfc8d52e7.bat"
行为描述：	跨进程写入数据
详情信息：	TargetProcess = C:\Windows\System32\cmd.exe, WriteAddress = 0x00050000, Size = 0x00000020 TargetPID = 0x0000066c TargetProcess = C:\Windows\System32\cmd.exe, WriteAddress = 0x00050020, Size = 0x00000034 TargetPID = 0x0000066c TargetProcess = C:\Windows\System32\cmd.exe, WriteAddress = 0x7ffd8238, Size = 0x00000004 TargetPID = 0x0000066c

文件行为

行为描述：	创建文件
详情信息：	C:\Users\Administrator\AppData\Local\Temp\updfc8d52e7.bat
行为描述：	覆盖已有文件
详情信息：	C:\Users\Administrator\AppData\Local\Temp\updfc8d52e7.bat
行为描述：	查找文件
详情信息：	FileName = C:\Users FileName = C:\Users\Administrator FileName = C:\Users\Administrator\AppData FileName = C:\Users\Administrator\AppData\Local FileName = C:\Users\Administrator\AppData\Local\Temp FileName = C:\Users\Administrator\AppData\Local\%temp% FileName = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe_7zdump FileName = C:\Users\ADMINI~1\AppData\Local\Temp\updfc8d52e7.bat FileName = C:\Users\ADMINI~1 FileName = C:\Users\ADMINI~1\AppData FileName = C:\Users\ADMINI~1\AppData\Local FileName = C:\Users\ADMINI~1\AppData\Local\Temp FileName = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe_7zdump\radA31C5.tmp.exe
行为描述：	删除文件
详情信息：	C:\Users\Administrator\AppData\Local\Temp\updfc8d52e7.bat
行为描述：	修改BAT脚本文件
详情信息：	C:\Users\Administrator\AppData\Local\Temp\updfc8d52e7.bat ---> Offset = 0
行为描述：	自删除
详情信息：	C:\Users\Administrator\AppData\Local\%temp%\b70c.exe_7zdump\radA31C5.tmp.exe

其他行为

行为描述：	检测自身是否被调试
详情信息：	IsDebuggerPresent
行为描述：	创建事件对象
详情信息：	EventName = Global\Microsoft Smart Card Resource Manager Started
行为描述：	直接调用系统关键API
详情信息：	Index = 0x00000042, Name: NtCreateFile, Instruction Address = 0x02029070 Index = 0x000000E2, Name: NtQueryEaFile, Instruction Address = 0x020290BE Index = 0x00000032, Name: NtClose, Instruction Address = 0x020290FD
行为描述：	获取TickCount值
详情信息：	TickCount = 827859, SleepMilliseconds = 60000. TickCount = 827890, SleepMilliseconds = 60000. TickCount = 827906, SleepMilliseconds = 60000. TickCount = 827921, SleepMilliseconds = 60000.
行为描述：	打开事件
详情信息：	HookSwitchHookEnabledEvent Global\TermSrvReadyEvent Global\SvcctrlStartEvent_A3752DX Global\Microsoft Smart Card Resource Manager Started \KernelObjects\MaximumCommitCondition MSFT.VSA.COM.DISABLE.2740 MSFT.VSA.IEC.STATUS.6c736db0
行为描述：	调用Sleep函数
详情信息：	[1]: MilliSeconds = 60000. [2]: MilliSeconds = 0.
行为描述：	直接获取CPU时钟
详情信息：	EAX = 0xfd8fa6fa, EDX = 0x0000027e

进程树

• [url=]rada31c5.tmp.exe (PID: 0x00000ab4)[/url]
  • [url=]cmd.exe (PID: 0x0000066c)[/url]
    
• [url=]cmd.exe (PID: 0x0000067c)[/url]
  

petr0vic

schumi小粉

emam

LSPD

ns kill