查看: 826|回复: 10
收起左侧

[病毒样本] HawkEye best1.exe

[复制链接]
csklho
发表于 2017-8-9 17:48:59 | 显示全部楼层 |阅读模式
VT: https://www.virustotal.com/en/file/4c61215602f935c30d31bc6c34e55bb13297fc5d0b306bca4ed1fd577b70fbe0/analysis/

TrendMicro OfficeScan missed

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
fireherman
发表于 2017-8-9 17:55:10 | 显示全部楼层


ESET killed




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
缉毒新英雄
发表于 2017-8-9 17:58:48 | 显示全部楼层
KIS2017居然miss   


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
心醉咖啡
发表于 2017-8-9 18:33:28 | 显示全部楼层
电脑管家

[mw_shl_code=css,true]【扫描信息】

开始时间:2017-8-9 18:32:34
扫描用时:00:00:01
扫描类型:指定位置杀毒
扫描引擎:管家云查杀引擎 管家反病毒引擎 管家系统修复引擎
扫描状态:扫描完成


【扫描结果】

扫描文件数:1
发现风险数:1
已处理风险数:1


---------------------
2017-8-9 18:32:40 MD5:3f89d02b34d744e61e88bbca179990d8 F:\浏览器下载\best1\best1.exe [Win32.Trojan.Injector.Kvbq]  [删除成功]
---------------------
[/mw_shl_code]
solstice1988
发表于 2017-8-9 19:51:58 | 显示全部楼层
红伞报

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Dolby123
发表于 2017-8-9 19:54:16 | 显示全部楼层
WD kill

TrojanSpy:MSIL/Golroted.A
和泉纱雾
发表于 2017-8-9 19:59:54 | 显示全部楼层
本帖最后由 和泉纱雾 于 2017-8-9 20:34 编辑


双击后


已经拉黑

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
edwardcl
发表于 2017-8-9 20:09:31 | 显示全部楼层
NS22 KILLED
zst470396853
发表于 2017-8-9 21:23:04 | 显示全部楼层
Q管国际版  BUG再现   扫描监控不报  双击kill 难道Q管国际版的云  不参与监控和扫描?????   难道就没有官人看见吗?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
左手
发表于 2017-8-9 22:18:13 | 显示全部楼层
本帖最后由 左手 于 2017-8-9 22:19 编辑

2017-8-9 22:16:11    修改文件 风险级别:未知 (2)    阻止
进程: c:\documents and settings\administrator\桌面\best1.exe
目标: C:\WINDOWS\system32\GDIPFONTCACHEV1.DAT
规则: [文件组]《坚固》f9999_《阻止受保护的对象被改写》 -> [文件]c:\windows\system32\*

2017-8-9 22:16:30    创建文件 风险级别:未知    允许
进程: c:\documents and settings\administrator\桌面\best1.exe
目标: C:\Documents and Settings\Administrator\Application Data\pid.txt
规则: [应用程序]?:\*\*\*\* -> [文件]c:\documents and settings\*\application data\*

2017-8-9 22:16:30    创建文件 风险级别:未知    允许
进程: d:\program files\fscapture8.4_chs\fscapture.exe
目标: C:\Documents and Settings\Administrator\桌面\2017-08-09_221626.jpg
规则: [应用程序组]a028_《低防御模式》_ProgramData -> [文件]c:\documents and settings\*\桌面\*

2017-8-9 22:16:35    加载动态链接库 风险级别:中    允许
进程: c:\documents and settings\administrator\桌面\best1.exe
目标: c:\windows\system32\dnsapi.dll
规则: [应用程序]* -> [动态链接库]c:\windows\system32\dnsapi.dll

2017-8-9 22:16:35    创建文件 风险级别:未知    允许
进程: d:\program files\fscapture8.4_chs\fscapture.exe
目标: C:\Documents and Settings\Administrator\桌面\2017-08-09_221634.jpg
规则: [应用程序组]a028_《低防御模式》_ProgramData -> [文件]c:\documents and settings\*\桌面\*

2017-8-9 22:16:54    修改注册表值 风险级别:未知    阻止
进程: c:\documents and settings\administrator\桌面\best1.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\ESENT\EventMessageFile
值: C:\WINDOWS\system32\ESENT.dll
规则: [注册表组]r080_服务 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\*

2017-8-9 22:16:54    创建文件 风险级别:未知    允许
进程: d:\program files\fscapture8.4_chs\fscapture.exe
目标: C:\Documents and Settings\Administrator\桌面\2017-08-09_221640.jpg
规则: [应用程序组]a028_《低防御模式》_ProgramData -> [文件]c:\documents and settings\*\桌面\*

2017-8-9 22:17:01    修改注册表值 风险级别:未知    阻止
进程: c:\documents and settings\administrator\桌面\best1.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\ESENT\CategoryMessageFile
值: C:\WINDOWS\system32\ESENT.dll
规则: [注册表组]r080_服务 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\*

2017-8-9 22:17:01    创建文件 风险级别:未知    允许
进程: d:\program files\fscapture8.4_chs\fscapture.exe
目标: C:\Documents and Settings\Administrator\桌面\2017-08-09_221659.jpg
规则: [应用程序组]a028_《低防御模式》_ProgramData -> [文件]c:\documents and settings\*\桌面\*

2017-8-9 22:17:07    修改注册表值 风险级别:未知    阻止
进程: c:\documents and settings\administrator\桌面\best1.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\ESENT\CategoryCount
值: 0x00000010(16)
规则: [注册表组]r080_服务 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\*

2017-8-9 22:17:13    访问网络    允许
进程: c:\documents and settings\administrator\桌面\best1.exe
目标: TCP [本机 : 3158] ->  [104.72.100.154 : 80 (http)]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2017-8-9 22:17:33    修改注册表值 风险级别:未知    阻止
进程: c:\documents and settings\administrator\桌面\best1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
值: 0x00000001(1)
规则: [注册表组]r010_行为防御 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced; Hidden

2017-8-9 22:17:47    安装全局消息钩子 风险级别:高    阻止
进程: c:\documents and settings\administrator\桌面\best1.exe
目标: c:\documents and settings\administrator\桌面\best1.exe
钩子类型: WH_KEYBOARD_LL
规则: [应用程序]?:\*\* -> [钩子模块].\*

2017-8-9 22:17:47    创建文件 风险级别:未知    阻止并结束进程
进程: c:\documents and settings\administrator\桌面\best1.exe
目标: C:\Documents and Settings\Administrator\Application Data\WindowsUpdate.exe
规则: [应用程序]?:\*\*\*\* -> [文件]c:\documents and settings\*\application data; *.exe

2017-8-9 22:17:47    创建文件 风险级别:未知    允许
进程: d:\program files\fscapture8.4_chs\fscapture.exe
目标: C:\Documents and Settings\Administrator\桌面\2017-08-09_221722.jpg
规则: [应用程序组]a028_《低防御模式》_ProgramData -> [文件]c:\documents and settings\*\桌面\*

2017-8-9 22:17:47    创建文件 风险级别:未知    允许
进程: d:\program files\fscapture8.4_chs\fscapture.exe
目标: C:\Documents and Settings\Administrator\桌面\2017-08-09_221739.jpg
规则: [应用程序组]a028_《低防御模式》_ProgramData -> [文件]c:\documents and settings\*\桌面\*


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-10-21 05:29 , Processed in 0.069803 second(s), 11 queries , Redis On.

快速回复 返回顶部 返回列表