VT Detection ratio: 4 / 47 1294730.exe 貌似注入IE

墨家小子

消停 发表于 2013-6-19 09:51
好样本！注入IE！

win8 X64 下行为完全不同，木马第一次注入SS拦截不到，第二次WerFault.exe注入explorer.exe拦截到了


2013/6/19 18:06:27,C:\Windows\SysWOW64\WerFault.exe,26,Blocked ;改变关键注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce,ActiveUpdate)

2013/6/19 18:06:29,C:\Windows\SysWOW64\WerFault.exe,26,Blocked ;改变关键注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce,ActiveUpdate)

2013/6/19 18:06:30,C:\Windows\SysWOW64\WerFault.exe,26,Blocked ;改变关键注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,ActiveUpdate)

2013/6/19 18:06:32,C:\Windows\SysWOW64\WerFault.exe,26,Blocked ;改变关键注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,ActiveUpdate)

2013/6/19 18:06:41,C:\Windows\SysWOW64\WerFault.exe,40,Blocked ;打开其它进程并获取修改权限 (explorer.exe(pid=2176))

2013/6/19 18:06:44,C:\Windows\SysWOW64\WerFault.exe,26,Blocked ;改变关键注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce,ActiveUpdate)

2013/6/19 18:06:46,C:\Windows\SysWOW64\WerFault.exe,26,Blocked ;改变关键注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce,ActiveUpdate)

2013/6/19 18:06:48,C:\Windows\SysWOW64\WerFault.exe,26,Blocked ;改变关键注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,ActiveUpdate)

2013/6/19 18:06:50,C:\Windows\SysWOW64\WerFault.exe,26,Blocked ;改变关键注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,ActiveUpdate)

2013/6/19 18:06:56,C:\Windows\SysWOW64\WerFault.exe,26,Terminated ;改变关键注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce,ActiveUpdate)

SUNKESS

诺顿也拦截 注入了


文件名: 1294730.exe
威胁名称: SONAR.Heuristic完整路径: 不可用

____________________________

详细信息
极少用户信任的文件,  极新的文件,  风险 高

原始
下载自
未知

活动
已执行的操作: 5

____________________________


在电脑上的创建时间 2013-6-20 ( 0:34:00 )
上次使用时间 2013-6-20 ( 0:34:00 )
启动项目 否
已启动 是

____________________________


极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。


____________________________


来源: 外部介质

源文件:
1294730.exe


____________________________

文件操作

事件: 正在运行进程: c:\documents and settings\bn\桌面\1294730.exe
已终止
受感染文件: c:\documents and settings\bn\桌面\1294730.exe
已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\documents and settings\bn\桌面\1294730.exe, PID:3860)
未采取操作
事件: 进程启动: c:\documents and settings\bn\桌面\1294730.exe, PID:1016 (执行者 c:\documents and settings\bn\桌面\1294730.exe, PID:3860)
未采取操作
____________________________

可疑操作

事件: 尝试在进程地址空间内启动远程线程 (执行者 c:\documents and settings\bn\桌面\1294730.exe, PID:3860)
未采取操作
____________________________


文件指纹 - SHA:
d13887488accdc351d73408aae6db7dee2dfdbf84540894bd0554189d91cf14e
文件指纹 - MD5:
不可用

win98sp123

zdlzp 发表于 2013-6-19 10:11
火绒不认识

我这里火绒行为杀了。。。

Genes

消停 发表于 2013-6-19 09:51
好样本！注入IE！

我用chrome 那这东西就运行不了了？

消停

Genes 发表于 2013-6-20 10:38
我用chrome 那这东西就运行不了了？

你卸载ie了吗？就算没有的话可能行为就变样了！

消停

SUNKESS 发表于 2013-6-20 00:37
诺顿也拦截 注入了

什么操作系统？

98反击

bAV

SUNKESS

消停 发表于 2013-6-20 12:13
什么操作系统？

XP ,虚拟机

chen116

zdlzp 发表于 2013-6-19 10:11
火绒不认识

不认识？

双击，系统加固报


允许后，直接报未知病毒

消停

SUNKESS 发表于 2013-6-20 12:42
XP ,虚拟机

可能是系统不同样本的动作也不同！