楼主: 墨家小子
收起左侧

[可疑文件] VT Detection ratio: 4 / 47 1294730.exe 貌似注入IE

[复制链接]
墨家小子
 楼主| 发表于 2013-6-19 18:09:28 | 显示全部楼层
消停 发表于 2013-6-19 09:51
好样本!注入IE!

win8 X64 下行为完全不同,木马第一次注入SS拦截不到,第二次WerFault.exe注入explorer.exe拦截到了


2013/6/19 18:06:27,C:\Windows\SysWOW64\WerFault.exe,26,Blocked ;改变关键注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce,ActiveUpdate)

2013/6/19 18:06:29,C:\Windows\SysWOW64\WerFault.exe,26,Blocked ;改变关键注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce,ActiveUpdate)

2013/6/19 18:06:30,C:\Windows\SysWOW64\WerFault.exe,26,Blocked ;改变关键注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,ActiveUpdate)

2013/6/19 18:06:32,C:\Windows\SysWOW64\WerFault.exe,26,Blocked ;改变关键注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,ActiveUpdate)

2013/6/19 18:06:41,C:\Windows\SysWOW64\WerFault.exe,40,Blocked ;打开其它进程并获取修改权限 (explorer.exe(pid=2176))

2013/6/19 18:06:44,C:\Windows\SysWOW64\WerFault.exe,26,Blocked ;改变关键注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce,ActiveUpdate)

2013/6/19 18:06:46,C:\Windows\SysWOW64\WerFault.exe,26,Blocked ;改变关键注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce,ActiveUpdate)

2013/6/19 18:06:48,C:\Windows\SysWOW64\WerFault.exe,26,Blocked ;改变关键注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,ActiveUpdate)

2013/6/19 18:06:50,C:\Windows\SysWOW64\WerFault.exe,26,Blocked ;改变关键注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,ActiveUpdate)

2013/6/19 18:06:56,C:\Windows\SysWOW64\WerFault.exe,26,Terminated ;改变关键注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce,ActiveUpdate)
SUNKESS
发表于 2013-6-20 00:37:12 | 显示全部楼层
诺顿也拦截 注入了


文件名: 1294730.exe
威胁名称: SONAR.Heuristic完整路径: 不可用

____________________________

详细信息
极少用户信任的文件,  极新的文件,  风险 高

原始
下载自
未知

活动
已执行的操作: 5

____________________________


在电脑上的创建时间 2013-6-20 ( 0:34:00 )
上次使用时间 2013-6-20 ( 0:34:00 )
启动项目 否
已启动 是

____________________________


极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。


此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。


____________________________


来源: 外部介质

源文件:
1294730.exe


____________________________

文件操作

事件: 正在运行进程: c:\documents and settings\bn\桌面\1294730.exe
已终止
受感染文件: c:\documents and settings\bn\桌面\1294730.exe
已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\documents and settings\bn\桌面\1294730.exe, PID:3860)
未采取操作
事件: 进程启动: c:\documents and settings\bn\桌面\1294730.exe, PID:1016 (执行者 c:\documents and settings\bn\桌面\1294730.exe, PID:3860)
未采取操作
____________________________

可疑操作

事件: 尝试在进程地址空间内启动远程线程 (执行者 c:\documents and settings\bn\桌面\1294730.exe, PID:3860)
未采取操作
____________________________


文件指纹 - SHA:
d13887488accdc351d73408aae6db7dee2dfdbf84540894bd0554189d91cf14e
文件指纹 - MD5:
不可用
win98sp123
发表于 2013-6-20 10:30:55 | 显示全部楼层
zdlzp 发表于 2013-6-19 10:11
火绒不认识

我这里火绒行为杀了。。。
Genes
发表于 2013-6-20 10:38:46 | 显示全部楼层
消停 发表于 2013-6-19 09:51
好样本!注入IE!

我用chrome 那这东西就运行不了了?
消停
头像被屏蔽
发表于 2013-6-20 11:39:27 | 显示全部楼层
Genes 发表于 2013-6-20 10:38
我用chrome 那这东西就运行不了了?

你卸载ie了吗?就算没有的话可能行为就变样了!
消停
头像被屏蔽
发表于 2013-6-20 12:13:57 | 显示全部楼层
SUNKESS 发表于 2013-6-20 00:37
诺顿也拦截 注入了

什么操作系统?
98反击
发表于 2013-6-20 12:31:59 | 显示全部楼层
bAV

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
SUNKESS
发表于 2013-6-20 12:42:49 | 显示全部楼层
消停 发表于 2013-6-20 12:13
什么操作系统?

XP ,虚拟机
chen116
发表于 2013-6-20 13:30:12 | 显示全部楼层
本帖最后由 chen116 于 2013-6-20 13:32 编辑
zdlzp 发表于 2013-6-19 10:11
火绒不认识



不认识?

双击,系统加固报


允许后,直接报未知病毒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
消停
头像被屏蔽
发表于 2013-6-20 14:11:24 | 显示全部楼层
SUNKESS 发表于 2013-6-20 12:42
XP ,虚拟机

可能是系统不同样本的动作也不同!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 21:41 , Processed in 0.095632 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表