VT Detection ratio: 1 / 48 1dsve2wefd.exe 挂马

墨家小子

250662772 发表于 2014-1-16 16:34
win8.1x64实机运行，没监控到什么

17:00:34        Allow        1DSVE2WEFD.EXE        Network-enabled application launch        c:\windows\syswow64\explorer.exe

17:00:34        Request        EXPLORER.EXE        Network-enabled application launch        c:\users\AAAAAAAA\documents\alipaydhc\alipaydhc.com

17:02:04        Allow        ALIPAYDHC.COM        Network-enabled application launch        c:\windows\syswow64\explorer.exe

17:02:16        Allow        EXPLORER.EXE        Network-enabled application launch        c:\windows\syswow64\svchost.exe

17:02:57        EXPLORER.EXE        Block system objects modification        Auto Start Entries        HKEY_USERS\S-1-5-21-3107897725-1610872711-3480031646-1001\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run

17:02:16        EXPLORER.EXE        Prompt for system object modification        Auto Start Entries        HKEY_USERS\S-1-5-21-3107897725-1610872711-3480031646-1001\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run

墨家小子

250662772 发表于 2014-1-16 16:34
win8.1x64实机运行，没监控到什么

250662772

墨家小子 发表于 2014-1-16 17:13

急救箱扫描了一遍什么也没有，启动项服务项一切正常

消停

墨家小子 发表于 2014-1-16 15:32
说出来吧 我们大家开心一下

运行后除了注入到explorer以外，还在谷歌浏览器的进程下生成另一个进程，但很快就退出了！谷歌浏览器也被结束了，再打开就提示快捷方式无效！我已开始以为被SONAR给一起回滚了，但看日志却没有相关记录！谁有HIPS并且也是谷歌的最好试一下，看看能不能复现！搞不好也有可能被SONAR误伤了！

墨家小子

250662772 发表于 2014-1-16 17:20
急救箱扫描了一遍什么也没有，启动项服务项一切正常

真屌 8.1裸奔必备

250662772

墨家小子 发表于 2014-1-16 17:26
真屌 8.1裸奔必备

在win8上可能有点水土不服，用火绒剑全程监控，发现启动explorer之后，就全部自动退出了，也没释放什么文件，添加启动项

墨家小子

消停 发表于 2014-1-16 17:20
运行后除了注入到explorer以外，还在谷歌浏览器的进程下生成另一个进程，但很快就退出了！谷歌浏览器也被 ...

开着chrome 没有看到木马对chrome的行为

墨家小子

250662772 发表于 2014-1-16 17:36
在win8上可能有点水土不服，用火绒剑全程监控，发现启动explorer之后，就全部自动退出了，也没释放什么文 ...

再给你看看第二次测试的过程（win8 X64）：

消停

明天我再宴机跑一下！

墨家小子

消停 发表于 2014-1-16 17:46
明天我再宴机跑一下！

好的
上午看木马名还以为是以前那种Fake AV呢 但是从测试来看没看到要结束杀软进程的行为，但联网时被我终结了，所以还不知道最后是不是下载木马回来