查看: 1293|回复: 17
收起左侧

[病毒样本] [病毒样本]支付宝集福增强工具(双击有惊喜)

[复制链接]
cz100zhengzelin
发表于 2017-10-8 03:27:21 | 显示全部楼层 |阅读模式
这是一个今天无意间发现的病毒样本,还是蛮有趣的。

----------------------------------------

样本名称:支付宝集福增强工具.7z
样本MD5校验值:832A3C437743215579EC6EC911913999
样本格式:*.exe可执行文件

----------------------------------------

 · 下载方式一:https://pan.baidu.com/s/1o8MFTCQ  提取码: kfan
 · 下载方式二:https://www.upload.ee/files/7535168/_________.7z.html

----------------------------------------

·建议虚拟机双击。病毒自带BGM。双击有惊喜!
·这里是一个B站UP对病毒的测试:https://www.bilibili.com/video/av13528466/

----------------------------------------

感谢各位饭友的参与!

潘基炫
发表于 2017-10-8 13:12:44 | 显示全部楼层
蜘蛛AV miss

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
willjjyu
发表于 2017-10-8 14:06:39 | 显示全部楼层

BGM 很好听! 无限弹窗,各种动画。


关键行为
行为描述:修改用户密码
详情信息:
ImagePath = , CmdLine = net user %username% /fullname:要密码加QQ:1322856336
ImagePath = , CmdLine = net user %username% 1224639518
ImagePath = , CmdLine = net user Administrator 1224639518
ImagePath = , CmdLine = net user Administrator /fullname:要密码加QQ:1322856336
行为描述:杀掉进程
详情信息:
C:\WINDOWS\system32\taskmgr.exe
行为描述:获取窗口截图信息
详情信息:
Foreground window Info: HWND = 0x0001035c, DC = 0x0a0104f6.
Foreground window Info: HWND = 0x00000000, DC = 0x00000000.
Foreground window Info: HWND = 0x00010360, DC = 0x0a0104f6.
行为描述:杀掉QQ进程
详情信息:
C:\Program Files\Tencent\QQ\Bin\QQ.exe


进程行为
行为描述:杀掉进程
详情信息:
C:\WINDOWS\system32\taskmgr.exe
行为描述:创建本地线程
详情信息:
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2864, ThreadID = 2932, StartAddress = 4AEA7456, Parameter = 00000000
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2864, ThreadID = 2940, StartAddress = 00438530, Parameter = 020F85B0
行为描述:创建新文件进程
详情信息:
[0x00000b98]ImagePath = C:\Documents and Settings\Administrator\Local Settings\%temp%\sj.exe, CmdLine = "C:\Documents and Settings\Administrator\Local Settings\%temp%\sj.exe"
行为描述:枚举进程
详情信息:
N/A
行为描述:杀掉QQ进程
详情信息:
C:\Program Files\Tencent\QQ\Bin\QQ.exe


文件行为
行为描述:创建文件
详情信息:
C:\Documents and Settings\Administrator\Local Settings\%temp%\sj.exe
C:\Documents and Settings\Administrator\Local Settings\%temp%\xh.exe
C:\1.bmp
行为描述:覆盖已有文件
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
行为描述:创建可执行文件
详情信息:
C:\Documents and Settings\Administrator\Local Settings\%temp%\sj.exe
C:\Documents and Settings\Administrator\Local Settings\%temp%\xh.exe
行为描述:修改文件内容
详情信息:
C:\Documents and Settings\Administrator\Local Settings\%temp%\sj.exe ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\%temp%\xh.exe ---> Offset = 0
C:\1.bmp ---> Offset = 0
行为描述:查找文件
详情信息:
FileName = C:\Documents and Settings\Administrator\Local Settings\Temp
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\sj.exe

注册表行为
行为描述:修改注册表
详情信息:
\REGISTRY\MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name
\REGISTRY\MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\ID

其他行为
行为描述:创建互斥体
详情信息:
CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
DDrawWindowListMutex
DDrawDriverObjectListMutex
__DDrawExclMode__
__DDrawCheckExclMode__
MSCTF.Shared.MUTEX.IOH
MSCTF.Shared.MUTEX.EDL
行为描述:创建事件对象
详情信息:
EventName = DINPUTWINMM
EventName = MSCTF.SendReceive.Event.EDL.IC
EventName = MSCTF.SendReceiveConection.Event.EDL.IC
行为描述:查找指定窗口
详情信息:
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [Progman,]
NtUserFindWindowEx: [Class,Window] = [,QQ.exe]
NtUserFindWindowEx: [Class,Window] = [,taskmgr.exe]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
行为描述:隐藏指定窗口
详情信息:
[Window,Class] = [,WindowEx]
[Window,Class] = [,PictureEx]
[Window,Class] = [,ButtonEx]
[Window,Class] = [,LabelEx]
[Window,Class] = [,Afx:400000:b:10011:0:0]
[Window,Class] = [,_EL_Timer]
[Window,Class] = [Program Manager,Progman]
[Window,Class] = [,Shell_TrayWnd]
[Window,Class] = [13:54,TrayClockWClass]
[Window,Class] = [开始,Button]
[Window,Class] = [,CPPToolTip]
行为描述:打开事件
详情信息:
HookSwitchHookEnabledEvent
Global\SvcctrlStartEvent_A3752DX
CTF.ThreadMIConnectionEvent.000007E8.00000000.0000000F
CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.0000000F
MSCTF.SendReceiveConection.Event.IOH.IC
MSCTF.SendReceive.Event.IOH.IC
行为描述:获取窗口截图信息
详情信息:
Foreground window Info: HWND = 0x0001035c, DC = 0x0a0104f6.
Foreground window Info: HWND = 0x00000000, DC = 0x00000000.
Foreground window Info: HWND = 0x00010360, DC = 0x0a0104f6.
行为描述:可执行文件签名信息
详情信息:
C:\Documents and Settings\Administrator\Local Settings\%temp%\sj.exe(签名验证: 未通过)
C:\Documents and Settings\Administrator\Local Settings\%temp%\xh.exe(签名验证: 未通过)
行为描述:修改用户密码
详情信息:
ImagePath = , CmdLine = net user %username% /fullname:要密码加QQ:1322856336
ImagePath = , CmdLine = net user %username% 1224639518
ImagePath = , CmdLine = net user Administrator 1224639518
ImagePath = , CmdLine = net user Administrator /fullname:要密码加QQ:1322856336
行为描述:可执行文件MD5
详情信息:
C:\Documents and Settings\Administrator\Local Settings\%temp%\sj.exe ---> 9f84adaac31c060f2cd8af2c84132c70
C:\Documents and Settings\Administrator\Local Settings\%temp%\xh.exe ---> dc394f97592b422b0dfbce656f39a64e
行为描述:打开互斥体
详情信息:
ShimCacheMutex

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
cz100zhengzelin
 楼主| 发表于 2017-10-8 03:31:41 | 显示全部楼层
本帖最后由 cz100zhengzelin 于 2017-10-8 03:34 编辑

火绒安全:Kill360TS:Kill
Avast:Kill

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
我要打十個
发表于 2017-10-8 03:33:47 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
欧阳宣
发表于 2017-10-8 05:56:26 | 显示全部楼层
mcafee

Suspect!dffe6e34209c
I76700K
发表于 2017-10-8 08:49:15 | 显示全部楼层
毒霸扫描miss
191196846
发表于 2017-10-8 08:54:42 | 显示全部楼层
kaspersky KILL

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
瓜皮猫
发表于 2017-10-8 09:02:17 | 显示全部楼层
ESET kill
Log
C:\Users\Desktop\支付宝集福增强工具\支付宝集福增强工具\支付宝集福增强工具.exe - Win32/AddUser.BG trojan - cleaned by deleting [1]
和泉纱雾
发表于 2017-10-8 10:08:21 | 显示全部楼层
本帖最后由 和泉纱雾 于 2017-10-8 10:28 编辑

卡巴、BD报毒

a1121611810
发表于 2017-10-8 10:24:50 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
心醉咖啡
发表于 2017-10-8 10:30:17 | 显示全部楼层
管家

[mw_shl_code=css,true]【扫描信息】

开始时间:2017-10-8 10:29:44
扫描用时:00:00:02
扫描类型:指定位置杀毒
扫描引擎:管家云查杀引擎 管家反病毒引擎 管家系统修复引擎
扫描状态:扫描完成


【扫描结果】

扫描文件数:2
发现风险数:1
已处理风险数:1


---------------------
2017-10-8 10:29:50 MD5:418b9933285480cf4c9f5d881a408e4d F:\浏览器下载\_________\支付宝集福增强工具\支付宝集福增强工具.exe [Win32.Trojan.Gen.Tjcm]  [删除成功]
---------------------
[/mw_shl_code]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-10-20 20:13 , Processed in 0.062831 second(s), 7 queries , Redis On.

快速回复 返回顶部 返回列表