收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 Radiation/Hell Ransomware
1234
返回列表 发新帖
楼主: Dolby123
 收起左侧

[病毒样本] Radiation/Hell Ransomware

[复制链接]
,就一个.
发表于 2017-7-9 15:05:50 | 显示全部楼层


一切正常 文件没有被加密

AVA 25.13293
GD 25.9960

*** 进程 ***

进程: 5008
文件名: 00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff.exe
路径: d:\00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff.exe

发行商:: 未知发行商
创建日期: 2017年7月9日 14:58:37
修改日期: 2017年7月2日 13:55:00

启动进程:: Explorer.EXE
发行商:: Microsoft Windows


*** 操作 ***

病毒扫描程序已检测出此文件是恶意程序。
已加壳的程序文件,可能隐藏有恶意代码。
程序正试图建立自启动项,以在系统启动时自动运行。
程序已创建或已操作可执行文件。
可执行文件被保存在一个可疑位置。
可疑位置为启动区域。


*** 隔离区 ***

下列文件被转入隔离区:
C:\Users\Administrator\AppData\Local\Temp\decrypter.exe
C:\Users\Administrator\AppData\Local\Temp\memes.jpg
D:\00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff.exe
D:\RADIATION.bin

下列注册表项被删除:


YHKCDywnJycnJgYtJyknKSYGLicnJycmBi8nKicqJganQicqdKJiYnArJyonKiYGx3KicqJiYoAuJycnJyYGuXJyBtlycrAtJycnJyYG/HJycnJiYtAmJygnKCYGdyonB4cqJycnJyYGhysnKCcoJgaHLCcnJycmBqcrGXc1ZisnGXc1ZisnJgbXKScoJygmBtcvJycnJyYG5ygn6HCPcuJw/3JycnJiYoD7cnJycmJigK5yooC+cqJiYnKiAAA
规则版本: 5.0.147
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
DLL版本: 68091

"D:\00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff.exe"
MD5: E7E2366F75F01F4639B57B77B1504D83
explorer.exe
MD5: 38AE1B3C38FAEF56FE4907922F0385BA


测到可疑的文件系统访问,这可能是加密木马。

因为安全原因,G DATA已中断如下进程:
        ----------------------------------------------------------------
        C:\Program Files\2345Soft\HaoZip\HaoZip.exe (PID 2192)
        C:\Users\Administrator\AppData\Local\360Chrome\Chrome\Application\360chrome.exe (PID 604)
        C:\Program Files\2345Soft\HaoZip\HaoZipUpdate.exe (PID 3032)
        C:\Program Files\2345Soft\HaoZip\HaoZip.exe (PID 3524)
        C:\Program Files\2345Soft\HaoZip\HaoZipLoader.exe (PID 1696)
        C:\Program Files\2345Soft\HaoZip\HaoZip.exe (PID 3500)
        C:\Users\Administrator\Desktop\00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff\00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff.exe (PID 3092)
        C:\Windows\Explorer.EXE (PID 2236)
        C:\Users\Administrator\AppData\Local\360Chrome\Chrome\Application\360chrome.exe (PID 724)
        C:\Users\Administrator\AppData\Roaming\HaoZip\Scan\HaoZipScan.exe (PID 1976)
        C:\Users\ADMINI~1\AppData\Local\Temp\decrypter.exe (PID 3144)
        C:\Windows\explorer.exe (PID 2416)
        C:\Users\Administrator\AppData\Roaming\HaoZip\Scan\HaoZipScan.exe (PID 3424)
        C:\Users\Administrator\Desktop\00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff.exe (PID 2484)
        C:\Users\ADMINI~1\AppData\Local\Temp\decrypter.exe (PID 4012)
        ----------------------------------------------------------------

阻止后,如下程序将被移入隔离区:
        ----------------------------------------------------------------
        C:\Users\Administrator\Desktop\00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff.exe
        C:\Users\Administrator\Desktop\00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff\00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff.exe
        C:\Users\Administrator\AppData\Local\Temp\decrypter.exe
        C:\Users\ADMINI~1\AppData\Local\Temp\decrypter.exe
        C:\Users\ADMINI~1\AppData\Local\Temp/decrypter.exe
        ----------------------------------------------------------------

检测到可疑行为:
        ----------------------------------------------------------------
        WRITE: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\split.avi
        WRITE: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\boxed-correct.avi
        WRITE: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\boxed-delete.avi
        WRITE: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\boxed-join.avi
        WRITE: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\boxed-split.avi
        WRITE: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\correct.avi
        WRITE: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\delete.avi
        WRITE: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\join.avi
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\HZ~BD26.tmp
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\HaoZip.hzc
        已创建: C:\Users\Administrator\AppData\Local\GDIPFONTCACHEV1.DAT
        已创建: C:\Users\Administrator\AppData\Local\Temp\HZ~D587.tmp
        已创建: C:\Users\Administrator\AppData\Local\Temp\HZ~DE01.tmp
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\update\download\0\HaoZip.NewVersion.data
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\update\HaoZip.CheckVersion.data
        已创建: C:\Users\Administrator\AppData\Local\Temp\HZ~DEEC.tmp
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\HaoZip.stat
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\HZ~DF27.tmp
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\pinyin.hzc
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\RC~DF3B.tmp
        已创建: C:\Users\Administrator\AppData\Local\Temp\HZ~E12B.tmp
        已创建: C:\Users\Administrator\AppData\Local\Temp\HZ~E16A.tmp
        已创建: C:\Users\Administrator\AppData\Local\Temp\RC~E19A.tmp
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\update\RC~E331.tmp
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\update\download\1\HaoZip.NewVersion.data
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\HZ~E3F8.tmp
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\RC~E408.tmp
        已创建: C:\Users\Administrator\AppData\Local\Temp\RC~E419.tmp
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\HZ~E41A.tmp
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\HaoZip.rt.ust
        已创建: C:\Users\Administrator\AppData\Local\Temp\HZ~E61F.tmp
        已创建: C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\70IDDM5R\index[1].htm
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\Temp\2345Scan.7z.tmp
        已创建: C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\70IDDM5R\2345Scan_new[1].7z
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\RC~EF72.tmp
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\2345HaoZipInstall.stat
        已创建: C:\Users\Administrator\AppData\Local\Temp\RC~EF83.tmp
        已创建: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\75bc45d2419af5c.automaticDestinations-ms
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\HZ~13FC.tmp
        已创建: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff.7z.lnk
        已创建: C:\Users\Administrator\AppData\Local\Temp\~HZ16EA.tmp
        已创建: C:\Users\Administrator\AppData\Local\Temp\~HZ16FB.tmp
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\lockfile
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\data_reduction_proxy_leveldb\LOG.old~RF54855.TMP
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\data_reduction_proxy_leveldb\LOCK
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\data_reduction_proxy_leveldb\000003.log
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\49AC.tmp
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\Login Data-journal
        已创建: C:\Users\Administrator\AppData\Local\Temp\etilqs_7XHXgBr93sPSmcH
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Web Data-journal
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\6B7F.tmp
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Local State~RF56bcc.TMP
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\6D83.tmp
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\Preferences~RF56db0.TMP
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\6FD5.tmp
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Network Persistent State~RF5702f.TMP
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cookies-journal
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\74C5.tmp
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\360sefav.dat~RF5754e.TMP
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Favicons-journal
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Sync360_V8.sqlite3-journal
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\75D0.tmp
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\Bookmarks~RF576d4.TMP
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\7EC6.tmp
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\360mobilefav.dat~RF57f1d.TMP
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\360sefav.dat-journal
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\7FA1.tmp
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\Bookmarks~RF58084.TMP
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_00007b
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\History-journal
        已创建: C:\Users\Administrator\AppData\Local\Temp\etilqs_xA4acKQEytYmJvl
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\9747.tmp
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\Preferences~RF597db.TMP
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\9D31.tmp
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Local State~RF59d76.TMP
        已创建: C:\Users\Administrator\AppData\Local\Temp\FAPA4A7.tmp
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\A8E5.tmp
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\TransportSecurity~RF5a9a6.TMP
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Extension State\LOG.old~RF5aba9.TMP
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Extension State\LOCK
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_00007c
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_00007d
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\C1B4.tmp
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\Preferences~RF5c245.TMP
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\D2D4.tmp
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\TransportSecurity~RF5d2e8.TMP
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_00007e
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Local Storage\https_www.baidu.com_0.localstorage-journal
        已创建: C:\Users\Administrator\AppData\Local\Temp\etilqs_9KYM1ciG0m9GTEa
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\ECEA.tmp
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Local State~RF5ed5a.TMP
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Login Data-journal
        已创建: C:\Users\Administrator\AppData\Local\Temp\etilqs_nIgrFsBhxm2r6md
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\EECF.tmp
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\Preferences~RF5ef3e.TMP
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\EF7B.tmp
        已创建: C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\TransportSecurity~RF5f037.TMP
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\Scan\HaoZipScan.exe
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\Scan\2345AvCloudQuery.dll
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\Scan\2345AvScan.dll
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\Scan\2345AvScan64.dll
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\Scan\2345AvScanEngine.dll
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\Scan\cloudcom2.dll
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\Scan\HyCQSDK.dll
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\Scan\QmScan.dll
        已创建: C:\ProgramData\Tencent\QQPCMgr\TAVAppConfig.ini
        已创建: C:\Users\Administrator\Desktop\00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff\00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff.exe
        已创建: C:\Users\Administrator\AppData\Local\Temp\memes.jpg
        已创建: C:\Users\Administrator\Desktop\00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff\RADIATION.bin
        已创建: C:\Users\Administrator\AppData\Local\Temp\decrypter.exe
        已创建: C:\Users\Administrator\Desktop\00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff\decrypt.txt
        已创建: C:\Users\Administrator\Desktop\00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff\public.memes
        已创建: C:\Users\Administrator\Desktop\00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff\private.memes
        WRITE: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\boxed-correct.avi
        WRITE: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\boxed-delete.avi
        WRITE: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\boxed-join.avi
        WRITE: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\boxed-split.avi
        WRITE: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\correct.avi
        WRITE: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\delete.avi
        WRITE: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\join.avi
        WRITE: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\split.avi
        已删除: C:\Users\Administrator\Desktop\00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff\decrypt.txt
        已创建: C:\$RECYCLE.BIN\S-1-5-21-1897738208-4270562136-2182956669-500\$I8LFUTF
        已创建: C:\Users\Administrator\AppData\Roaming\HaoZip\HZ~79FF.tmp
        已创建: C:\Users\Administrator\AppData\Local\Temp\~HZ7AAC.tmp
        已创建: C:\Users\Administrator\AppData\Local\Temp\~HZ7AAD.tmp
        已创建: C:\Users\Administrator\Desktop\00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff.exe
        已创建: C:\Users\Administrator\Desktop\RADIATION.bin
        已创建: C:\Users\Administrator\AppData\Local\Temp\decrypter.exe
        已创建: C:\Users\Administrator\Desktop\decrypt.txt
        已创建: C:\Windows\assembly\NativeImages_v2.0.50727_64\index22b.dat
        已创建: C:\Users\Administrator\Desktop\public.memes
        已创建: C:\Users\Administrator\Desktop\private.memes
        已创建: C:\Users\Administrator\Desktop\00f001e3eda573c2994a749b83e920d7067893bdb9a5fe836b22bd05d4d611ff\decrypt.txt
        ----------------------------------------------------------------

用户已阻止该操作。

回复

举报

1234
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-27 09:28 , Processed in 0.082109 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表