革命性远控样本,帮忙测行为

Nocria

To AVG

275751198

360云鉴定都人工
A.exe行为：创建可疑目录，隐藏可疑文件
其他的在线沙盘看不出
Hitman pro 的云把3个都上传了，但只有实物图被Ikraus报

360技师

360未知，ESETmiss

留侯

大蜘蛛Clean，已上报！

lbb9432

完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2012/4/1 ( 22:31:07 )
上次使用时间 2012/4/1 ( 22:31:07 )
启动项目 否
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________


源文件:
winrar.exe

创建的文件:
实物图.exe
____________________________
文件操作
受感染文件: c:\users\lbb9432\desktop\实物图.exe
已删除
____________________________
系统设置操作
事件: 进程启动 (执行者 c:\users\lbb9432\desktop\实物图.exe, PID:4212)
未采取操作
____________________________
文件指纹 - SHA:
00e4a60d608fe2b451d5d5245dc6695a7e383e20e25d793f6a76e2a433c19349
____________________________
文件指纹 - MD5:
d8575e60b5affa4d05f9f9935b83a173
____________________________

yhjtj

组件 B.exe (pid=5296)
2012/4/1 22:33:16,C:\Program Files\Sandboxie\Start.exe,53,Allowed ;启动一个应用程序 (C:\Program Files\Sandboxie\SandboxieRpcSs.exe)
2012/4/1 22:33:17,C:\Program Files\Sandboxie\SandboxieRpcSs.exe,53,Allowed ;启动一个应用程序 (C:\Program Files\Sandboxie\SandboxieDcomLaunch.exe)
2012/4/1 22:33:17,C:\Program Files\Sandboxie\SandboxieDcomLaunch.exe,40,Allowed ;打开其它进程并获取修改权限 (SandboxieRpcSs.exe(pid=7772))
2012/4/1 22:33:25,C:\Program Files\Sandboxie\Start.exe,53,Allowed ;启动一个应用程序 (C:\Users\xxxx\Desktop\样本\实物图.exe)
2012/4/1 22:33:36,C:\Users\xxxx\Desktop\样本\实物图.exe,53,Allowed ;启动一个应用程序 (C:\Users\xxxx\Desktop\样本\A.exe)
2012/4/1 22:33:42,C:\Users\xxxx\Desktop\样本\A.exe,22,Blocked ;截取屏幕
沙盘加ssf
2012/4/1 22:33:44,C:\Users\xxxx\Desktop\样本\A.exe,22,Blocked ;截取屏幕
2012/4/1 22:33:48,C:\Users\xxxx\Desktop\样本\A.exe,22,Blocked ;截取屏幕
2012/4/1 22:34:04,C:\Users\xxxx\Desktop\样本\实物图.exe,53,Allowed ;启动一个应用程序 (C:\Users\xxxx\Desktop\样本\B.exe)
2012/4/1 22:34:17,C:\Users\xxxx\Desktop\样本\B.exe,50,Allowed ;通过DNS解析服务访问网络
2012/4/1 22:34:54,C:\Users\xxxx\Desktop\样本\B.exe,48,Allowed ;传出的网络访问-出站
正试图 建立一个传出的网络连接(TCP)
远程地址=2125639f.qqc.co(206.125.41.20) 远程端口=80
行为类型 代码: 48
技术信息: 28,6,0
是否允许这个危险行为?

蝉鸣时

To ESET.

Thank you for your submission.
The detection for this threat will be included in our next signature update.

A.exe - Win32/Spy.FlyStudio.NAE trojan

Regards,

ESET Malware Response Team

yhjtj

生成一个黑屏，不过没事，什么都不妨碍
2012-4-1 23:05:18,C:\WINDOWS.0\explorer.exe,53,Allowed ;启动一个应用程序 (C:\Documents and Settings\Administrator.CHINA-3D80B4853\桌面\实物图.exe)
2012-4-1 23:05:23,C:\Documents and Settings\Administrator.CHINA-3D80B4853\桌面\实物图.exe,53,Allowed ;启动一个应用程序 (C:\Documents and Settings\Administrator.CHINA-3D80B4853\桌面\A.exe)
2012-4-1 23:05:29,C:\Documents and Settings\Administrator.CHINA-3D80B4853\桌面\A.exe,22,Blocked ;截取屏幕
2012-4-1 23:05:48,C:\Documents and Settings\Administrator.CHINA-3D80B4853\桌面\实物图.exe,53,Allowed ;启动一个应用程序 (C:\Documents and Settings\Administrator.CHINA-3D80B4853\桌面\B.exe)

2
2012-4-1 23:06:10,C:\Documents and Settings\Administrator.CHINA-3D80B4853\桌面\B.exe,54,Allowed ;接收传入的网络数据包
2012-4-1 23:06:21,C:\Documents and Settings\Administrator.CHINA-3D80B4853\桌面\B.exe,50,Allowed ;通过DNS解析服务访问网络
组件 B.exe (pid=1148)
正试图 接收传入的网络数据包
监听端口: 1033 本地 IP=127.0.0.1 协议=UDP
行为类型 代码: 54
技术信息: 34,17,0
是否允许这个危险行为?

组件B.exe (pid=1148)
正试图 通过DNS解析服务访问网络
行为类型 代码: 50
技术信息: 30,0,0
注意： 如果您信任这个组件，可以允许这个行为
是否允许这个危险行为?

rsin

懂了，是不是白exe调用黑exe？？？

rsin

秒杀360云主防