楼主: Kaspersky用户
收起左侧

[病毒样本] 特殊病毒

  [复制链接]
ziqianweiyang
发表于 2017-8-6 17:53:35 | 显示全部楼层
NS Kill

文件名: vb代码转换器.exe
威胁名称: Heur.AdvML.B完整路径: c:\users\xvniji\downloads\vb代码转换器.exe

____________________________

____________________________


在电脑上 
2017/8/6 ( 17:50:54 )

上次使用时间 
2017/8/6 ( 17:52:54 )

启动项 


已启动 


威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。

___________________________


vb代码转换器.exe 威胁名称: Heur.AdvML.B
定位

极少用户信任的文件
Norton 社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。
____________________________

来源: 外部介质

源文件:
vb代码转换器.exe
____________________________

文件操作

文件: c:\users\xvniji\downloads\ vb代码转换器.exe 已删除
____________________________


文件指纹 - SHA:
8b6466af6db27b586edbf1cb02bba8c91bf4c79b160a8670c7d01206090700b5
文件指纹 - MD5:
不可用
ATP_synthase
发表于 2017-8-6 18:49:35 | 显示全部楼层
本帖最后由 wusiyuanjh 于 2017-8-6 18:51 编辑

win7虚拟机双击后出现数学题,后弹出锁定警告,然后自动关机,再开机,被加了登录密码
卡巴扫描miss
循梦渡
发表于 2017-8-6 19:22:13 | 显示全部楼层
您所在的用户组无法下载或查看附件

评分

参与人数 1经验 -2 收起 理由
扬帆起航 -2 灌水

查看全部评分

NotFake
发表于 2017-8-6 19:27:28 | 显示全部楼层
会不会还要在安全膜式 ?
学雷锋做人
发表于 2017-8-6 19:51:41 | 显示全部楼层
还可以玩一玩

[mw_shl_code=css,true]19:49:08[1]:(允许)程序启动:File_Analysis 行为记录成功开启   规则版本:1.4.0.0

19:49:08[2]:(阻止)加载全局钩子:WH_MOUSE_LL(钩子型号)     钩子地址:婍

19:49:08[3]:(阻止)窗口操作:最前显示窗口

19:49:08[4]:(允许)获取文件属性:C:\Users\wang\AppData\Roaming

19:49:08[5]:(允许)读取文件:C:\Windows\Fonts\staticcache.dat     访问权限:-2147483648

19:49:08[6]:(允许)时间操作:设置定时器(一)     时间间隔:1000ms

19:49:08[7]:(允许)创建注册表键:HKEY_CURRENT_USER\System\CurrentControlSet\Control\MediaProperties\PrivateProperties\DirectInput

19:49:08[8]:(阻止)创建注册表键:796\VID_0E0F&PID_0003

19:49:08[9]:(安全环境)写入文件:\\?\hid#vid_0e0f&pid_0003&mi_00#8&17be0303&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}     访问权限:-1073741824

19:49:08[10]:(阻止)创建注册表键:796\VID_0E0F&PID_0003

19:49:08[11]:(安全环境)写入文件:\\?\hid#vid_0e0f&pid_0003&mi_01#8&2f818f48&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}     访问权限:-1073741824

19:49:08[12]:(允许)读取文件:C:\Users\wang\Desktop\File_safe\VB代码转换器.exe     访问权限:-2147483648

19:49:08[13]:(允许)创建注册表键:HKEY_CURRENT_USER\Software\Microsoft\DirectInput\MostRecentApplication\

19:49:08[14]:(阻止)写注册表值:\Version     数据:

19:49:08[15]:(阻止)写注册表值:\Name     数据:VB代码转换器.EXE

19:49:08[16]:(阻止)写注册表值:\Id     数据:VB代码转换器.EXE597ECBAD00069458

19:49:08[17]:(阻止)写注册表值:\MostRecentStart     数据:

19:49:08[18]:(允许)读取文件:C:\Users\wang\Desktop\File_safe\VB代码转换器.exe     访问权限:-2147483648

19:49:08[19]:(允许)读取文件:C:\Users\wang\Desktop\File_safe\VB代码转换器.exe     访问权限:-2147483648

19:49:08[20]:(阻止)创建注册表键:856\VID_0E0F&PID_0003

19:49:08[21]:(安全环境)写入文件:\\?\hid#vid_0e0f&pid_0003&mi_00#8&17be0303&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}     访问权限:-1073741824

19:49:08[22]:(阻止)创建注册表键:856\VID_0E0F&PID_0003

19:49:08[23]:(安全环境)写入文件:\\?\hid#vid_0e0f&pid_0003&mi_01#8&2f818f48&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}     访问权限:-1073741824

19:49:08[24]:(阻止)加载全局钩子:WH_MOUSE_LL(钩子类型)     钩子地址:4194304

19:49:08[25]:(允许)时间操作:设置定时器(一)     时间间隔:100ms

19:49:08[26]:(允许)时间操作:设置定时器(一)     时间间隔:100ms

19:49:13[27]:(阻止)窗口操作:最前显示窗口

19:49:13[28]:(允许)时间操作:设置定时器(一)     时间间隔:1000ms

19:49:13[29]:(允许)读取文件:C:\Users\wang\Desktop\File_safe\VB代码转换器.exe     访问权限:-2147483648

19:49:13[30]:(阻止)写注册表值:\Version     数据:

19:49:13[31]:(阻止)写注册表值:\Name     数据:VB代码转换器.EXE

19:49:13[32]:(阻止)写注册表值:\Id     数据:VB代码转换器.EXE597ECBAD00069458

19:49:13[33]:(阻止)写注册表值:\MostRecentStart     数据:澩

19:49:13[34]:(允许)读取文件:C:\Users\wang\Desktop\File_safe\VB代码转换器.exe     访问权限:-2147483648

19:49:13[35]:(允许)读取文件:C:\Users\wang\Desktop\File_safe\VB代码转换器.exe     访问权限:-2147483648

19:49:13[36]:(阻止)创建注册表键:872\VID_0E0F&PID_0003

19:49:13[37]:(安全环境)写入文件:\\?\hid#vid_0e0f&pid_0003&mi_00#8&17be0303&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}     访问权限:-1073741824

19:49:13[38]:(阻止)创建注册表键:872\VID_0E0F&PID_0003

19:49:13[39]:(安全环境)写入文件:\\?\hid#vid_0e0f&pid_0003&mi_01#8&2f818f48&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}     访问权限:-1073741824

19:49:13[40]:(阻止)加载全局钩子:WH_MOUSE_LL(钩子类型)     钩子地址:4194304

19:49:15[41]:(允许)时间操作:设置定时器(一)     时间间隔:100ms

19:49:23[42]:(阻止)创建进程:shutdown.exe -s -t 0

19:49:23[43]:(阻止)内核操作:提升进程权限

19:49:23[44]:(阻止)系统操作:强制关闭系统

19:49:23[45]:(阻止)创建进程:net user wang qwertyuiopasdfghjklzxcvbnm1234567890=-8/[/mw_shl_code]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
kvppme
发表于 2017-8-6 21:01:17 | 显示全部楼层
很正常的啊
qq1094250746
发表于 2017-8-7 10:36:38 | 显示全部楼层
双击出现数学题然后自动关机了开机没发现什么异常
桑德尔
头像被屏蔽
发表于 2017-8-7 10:49:29 | 显示全部楼层

奇怪,我这边实机测试ESET并没有报毒
蜀山小剑侠
头像被屏蔽
发表于 2017-8-7 14:12:38 | 显示全部楼层
我实机测试,重启后什么感觉都没有。完了,我忘了关影了系统。
ph202020
发表于 2017-8-7 14:18:56 | 显示全部楼层
那个操作系统会更适合?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 04:24 , Processed in 0.102012 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表