收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 可能是病毒,沙盒里也没敢运行
返回列表 发新帖
查看: 1346|回复: 3
收起左侧

[可疑文件] 可能是病毒,沙盒里也没敢运行

[复制链接]
planningall
发表于 2017-10-6 15:18:58 | 显示全部楼层 |阅读模式
是在这个地址下载的:http://devxstudiv.org/software/184683-movie-torrent-4030-portable.html
原本是打算下载Movie Torrent 4.0.3.0 Portable这个程序
本来想直接把文件传上来,不过有500多k,超过限制了。

我有个好习惯,就是下载下来的东西,都是先到sandboxie里面运行一段时间,刚才下载完了,沙盒里面安装的时候就感觉有问题,所以直接在安装界面就没有继续下去,有大神愿意看看这个东西吗?




回复

举报

planningall
 楼主| 发表于 2017-10-6 15:24:03 | 显示全部楼层
之所以觉得奇怪,是在安装界面看到这个:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

心醉咖啡
发表于 2017-10-6 15:32:18 | 显示全部楼层
管家扫描miss
回复

举报

安全守护者
头像被屏蔽
发表于 2017-10-6 15:38:01 | 显示全部楼层
本帖最后由 安全守护者 于 2017-10-6 15:40 编辑

您提交的样本未发现风险![mw_shl_code=css,true]关键行为
行为描述:        屏蔽窗口关闭消息
详情信息:       
hWnd = 0x0001034c, Text = Setup, ClassName = TWindowDisabler-Window.
hWnd = 0x00060334, Text = Setup, ClassName = TApplication.
进程行为
行为描述:        创建进程
详情信息:       
[0x00000b00]ImagePath = C:\WINDOWS\system32\rundll32.exe, CmdLine = "C:\WINDOWS\system32\rundll32.exe" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-SESTI.tmp\i3R66fPaNEV6pO.dll" splash
行为描述:        创建新文件进程
详情信息:       
[0x00000af0]ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-9NJOP.tmp\996E.tmp, CmdLine = "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-9NJOP.tmp\996E.tmp" /SL5="$1033E,322426,57856,C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe"
文件行为
行为描述:        创建文件
详情信息:       
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9NJOP.tmp\996E.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\is-SESTI.tmp\i3R66fPaNEV6pO.dll
行为描述:        创建可执行文件
详情信息:       
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9NJOP.tmp\996E.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\is-SESTI.tmp\i3R66fPaNEV6pO.dll
行为描述:        修改文件内容
详情信息:       
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9NJOP.tmp\996E.tmp ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9NJOP.tmp\996E.tmp ---> Offset = 65536
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9NJOP.tmp\996E.tmp ---> Offset = 131072
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9NJOP.tmp\996E.tmp ---> Offset = 196608
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9NJOP.tmp\996E.tmp ---> Offset = 262144
C:\Documents and Settings\Administrator\Local Settings\Temp\is-SESTI.tmp\i3R66fPaNEV6pO.dll ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\is-SESTI.tmp\i3R66fPaNEV6pO.dll ---> Offset = 65536
C:\Documents and Settings\Administrator\Local Settings\Temp\is-SESTI.tmp\i3R66fPaNEV6pO.dll ---> Offset = 131072
C:\Documents and Settings\Administrator\Local Settings\Temp\is-SESTI.tmp\i3R66fPaNEV6pO.dll ---> Offset = 196608
C:\Documents and Settings\Administrator\Local Settings\Temp\is-SESTI.tmp\i3R66fPaNEV6pO.dll ---> Offset = 262144
行为描述:        查找文件
详情信息:       
FileName = C:\DOCUME~1
FileName = C:\DOCUME~1\ADMINI~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-9NJOP.tmp
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-9NJOP.tmp\996E.tmp
FileName = C:\WINDOWS
FileName = C:\WINDOWS\system32
FileName = C:\WINDOWS\system32\rundll32.exe
其他行为
行为描述:        创建互斥体
详情信息:       
oleacc-msaa-loaded
CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
MSCTF.Shared.MUTEX.IOH
MSCTF.Shared.MUTEX.EPK
MSCTF.Shared.MUTEX.EAL
行为描述:        创建事件对象
详情信息:       
EventName = Global\userenv: User Profile setup event
EventName = MSCTF.SendReceive.Event.EAL.IC
EventName = MSCTF.SendReceiveConection.Event.EAL.IC
EventName = MSCTF.SendReceive.Event.EPK.IC
EventName = MSCTF.SendReceiveConection.Event.EPK.IC
行为描述:        查找指定窗口
详情信息:       
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
行为描述:        打开事件
详情信息:       
HookSwitchHookEnabledEvent
CTF.ThreadMIConnectionEvent.000007E8.00000000.0000000F
CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.0000000F
MSCTF.SendReceiveConection.Event.IOH.IC
MSCTF.SendReceive.Event.IOH.IC
CTF.ThreadMIConnectionEvent.000007E8.00000000.00000010
CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.00000010
行为描述:        屏蔽窗口关闭消息
详情信息:       
hWnd = 0x0001034c, Text = Setup, ClassName = TWindowDisabler-Window.
hWnd = 0x00060334, Text = Setup, ClassName = TApplication.
行为描述:        枚举窗口
详情信息:       
N/A
行为描述:        可执行文件签名信息
详情信息:       
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9NJOP.tmp\996E.tmp(签名验证: 未通过)
C:\Documents and Settings\Administrator\Local Settings\Temp\is-SESTI.tmp\i3R66fPaNEV6pO.dll(签名验证: 未通过)
行为描述:        可执行文件MD5
详情信息:       
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9NJOP.tmp\996E.tmp ---> 832dab307e54aa08f4b6cdd9b9720361
C:\Documents and Settings\Administrator\Local Settings\Temp\is-SESTI.tmp\i3R66fPaNEV6pO.dll ---> 47ffd039668dc2d856e421bcde782d26
行为描述:        打开互斥体
详情信息:       
ShimCacheMutex
行为描述:        加载新释放的文件
详情信息:       
Image: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-SESTI.tmp\i3R66fPaNEV6pO.dll.
进程树
****.exe (PID: 0x00000a9c)
****.tmp /SL5="$1033E,322426,57856,****.exe" (PID: 0x00000af0)
rundll32.exe i3r66fpanev6po.dll" splash (PID: 0x00000b00)[/mw_shl_code]
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-19 20:03 , Processed in 0.135366 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表