VT Detection ratio: 3 / 50 JR.exe 略屌

显示全部楼层 · 发表于 2014-3-5 11:05:49

墨家小子发表于 2014-3-5 09:41
好意思拿OP当禁运工具么？我代表全球OP用户对你行为表示遗憾

相反，我同样代表全球OSS用户对你这种一根筋追求无限弹窗不弹窗就不是好HIPS的片面判定表示遗憾。
PS：AppLocker也是我禁运工具之一。

显示全部楼层 · 发表于 2014-3-5 12:28:51

JR.exe貌似有注入wuauclt.exe

2014-2-21 08:03:06 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\测试\jr.exe
命令行: "C:\测试\JR.exe"
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]『询问』病毒测试 -> [应用程序]*\测试\*

2014-2-21 08:03:16 创建新进程允许
进程: c:\测试\jr.exe
目标: c:\windows\system32\wuauclt.exe
命令行: C:\WINDOWS\system32\wuauclt.exe
规则: [应用程序组]『询问』病毒测试

2014-2-21 08:03:18 修改注册表值允许
进程: c:\测试\jr.exe
目标: HKEY_CURRENT_USER\Software\1600156901459586
值: 22 03 3b 1f 23 15 37 10 40 6f 5a 1a 39 13 76 60 3b 0e 19 06 35 0a 18 16 1a 17 05 27 7d 67 7e 68 38 0c f4 3a f3 04 e1 2d e7 09 f6 0b f6 1c 86 70 d2 01 e9 11 e2 31 f3 30 fc 1c e2 11 cd 77 8e 78 df 3c 90 7a dd 7a 90 7c 93 6d 94 7e 9d 7f 96 80 97 81 98 82 79 83 94 a5 90 84 9c bc 9d 81 9f 88 9f db a0 8a a1 8b a2 8c 7b 70 a5 8e a5 9f a6 90 a7 b1 a9 92 a9 93 aa 84 ab 85 ac 96 ad 95 ae 98 ab 99 b0 9a b1 9b b2 9c b7 9d b4 9e b5 9f b6 a0 b7 21 ba a2 b9 a1 ba a4 bb a5 bc a6 bf a7 be a8 bf a9 d0 aa c1 bb c2 ac c3 ad d4 ae c5 bf c6 b0 c7 b1 c8 b2 d9 b3 ca b4 6f b5 ce b6 e5 b7 ce b8 43 b9 d2 ba c5 bb d2 bc d3 bd d4 be d5 bf d6 c0 d7 c1 d8 c2 d9 c3 da c4 db c5 dc c6 dd c7 de c8 97 c9 e0 ca e9 cb e2 cc e3 cd e4 ce e5 cf e6 d0 e7 d1 e8 d2 e9 d3 ea d4 eb d5 ec d6 ed d7 ee d8 ef d9 f0 da f1 db f2 dc f3 dd f4 de f5 df f6 e0 f7 e1 f8 e2 f9 e3 fa e4 fb e5 fc e6 fd e7 fe e8 ff ea 00 eb 01 ec 02 ed 03 ee 04 ef 05 f0 06 f1 07 f2 08 f3 09 f4 0a f5 25 a3 7c 96 6e 93 0e f9 0f 7a 11 fb 11 ec 12 fd 13 fe 14 ff 16 00 17 01 18 02 19 03 1a 04 1b 05 1c 06 1d 07 7e 08 1f e9 0e 78 52 79 41 0c 23 0d 24 fe 25 0f 26 80 26 11 e4 62 29 13 2a 16 2b 15 2c 16 2d 17 2e 18 2f 19 30 1a 31 1b 52 1c 33 fd bc 1f 35 0f fa 20 35 31 23 22 39 23 34 24 3b 25 3c 36 3d 37 38 28 3d 39 12 2a 43 3b 17 2c 41 3d 27 2e 47 3f 78 30 45 21 b4 3d 49 23 33 cb 4a 25 37 c9 4c 27 55 c6 4e 29 cb b1 50 2b da 3c 51 2d ab 41 54 2f 3b bf 56 51 58 46 59 43 26 43 5b 45 98 4d 5d 47 37 43 5f 49 63 4c 61 4b 62 dc 62 5d 64 4e 65 4f 99 af 98 ae 69 52 69 53 6b 54 6b 55 6d 56 6d 57 6f 58 6f 59 70 2a 0c a3 d1 54
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2014-2-21 08:03:21 修改其他进程的内存允许
进程: c:\测试\jr.exe
目标: c:\windows\system32\wuauclt.exe
规则: [应用程序组]『询问』病毒测试

2014-2-21 08:03:29 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\shimeng.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:03:33 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\winmm.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:03:35 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\msacm32.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:03:38 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\uxtheme.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:03:40 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\imm32.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:03:42 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\lpk.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:03:45 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\usp10.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:03:48 删除文件允许
进程: c:\windows\system32\wuauclt.exe
目标: C:\测试\JR.exe
规则: [应用程序组]『询问』病毒测试 -> [文件组]全局高危文件

2014-2-21 08:03:51 删除注册表值允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_CURRENT_USER\Software\1600156901459586
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2014-2-21 08:03:54 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\wsock32.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:03:57 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\ws2_32.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:03:59 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\ws2help.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:00 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\msctf.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:01 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\msi.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:02 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\pstorec.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:03 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\atl.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:12 修改文件 (2) 允许
进程: c:\windows\system32\wuauclt.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2014-2-21 08:04:14 修改注册表值允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\Administrator\Application Data
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2014-2-21 08:04:15 修改注册表值允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
值: C:\Documents and Settings\All Users\Application Data
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2014-2-21 08:04:17 修改注册表值允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Local AppData
值: C:\Documents and Settings\Administrator\Local Settings\Application Data
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2014-2-21 08:04:18 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\clbcatq.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:19 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\comres.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:20 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\shdocvw.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:20 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\riched20.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:28 修改注册表值允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2014-2-21 08:04:31 修改注册表值允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2014-2-21 08:04:36 修改注册表值允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
值: C:\Documents and Settings\Administrator\Local Settings\History
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2014-2-21 08:04:39 修改注册表值允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
值: C:\Documents and Settings\Administrator\My Documents
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2014-2-21 08:04:40 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\mswsock.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:41 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\hnetcfg.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:42 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\wshtcpip.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:43 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\dnsapi.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:44 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\iphlpapi.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:44 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\winrnr.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:45 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\rasadhlp.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:45 加载动态链接库允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\system32\samlib.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2014-2-21 08:04:47 修改文件允许
进程: c:\windows\system32\wuauclt.exe
目标: \Device\NamedPipe\samr
规则: [应用程序组]『询问』病毒测试 -> [文件]*

显示全部楼层 · 发表于 2014-3-5 12:46:47

这两步是啥意思？

2014-2-21 08:04:12 修改文件 (2) 允许
进程: c:\windows\system32\wuauclt.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2014-2-21 08:04:47 修改文件允许
进程: c:\windows\system32\wuauclt.exe
目标: \Device\NamedPipe\samr
规则: [应用程序组]『询问』病毒测试 -> [文件]*

显示全部楼层 · 发表于 2014-3-5 12:55:30

lingfei 发表于 2014-3-5 12:28
JR.exe貌似有注入wuauclt.exe
2014-2-21 08:03:06 创建新进程允许
进程: c:\windows\explor ...

很难断定wuauclt.exe被注入。
wuauclt.exe加载库文件不能作为wuauclt.exe被注入依据。

显示全部楼层 · 发表于 2014-3-5 13:16:46

hddu 发表于 2014-3-5 12:55
很难断定wuauclt.exe被注入。
wuauclt.exe加载库文件不能作为wuauclt.exe被注入依据。

那这个怎么说？

显示全部楼层 · 发表于 2014-3-5 13:45:15

文件名: jr.exe
威胁名称: SONAR.ProcHijack!gen1
完整路径: 不可用

____________________________

详细信息
极少用户信任的文件, 极新的文件, 风险高

原始
下载自
未知

活动
已执行的操作: 4

____________________________

在电脑上的创建时间
2014-3-5 ( 6:59:49 )

上次使用时间
2014-3-5 ( 6:59:49 )

启动项目
否

已启动
是

____________________________

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

来源: 外部介质

源文件:
jr.exe

____________________________

文件操作

文件: f:\norton样本\临时收集\ jr.exe 已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-1071228153-3121885108-811120218-500\ Software->3341526363748596 已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\jr.exe, PID:2696) 未采取操作
事件: 进程启动: c:\Windows\System32\ wuauclt.exe, PID:280 (执行者 f:\norton样本\临时收集\jr.exe, PID:2696) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2014-3-5 14:43:57

hddu 发表于 2014-3-5 12:55
很难断定wuauclt.exe被注入。
wuauclt.exe加载库文件不能作为wuauclt.exe被注入依据。

2014-2-21 08:03:21 修改其他进程的内存允许
进程: c:\测试\jr.exe
目标: c:\windows\system32\wuauclt.exe
规则: [应用程序组]『询问』病毒测试

主要是这个，这个应该可以认为是注入吧~~

显示全部楼层 · 发表于 2014-3-5 14:47:56

墨家小子发表于 2014-3-5 12:46
这两步是啥意思？

2014-2-21 08:04:12 修改文件 (2) 允许

\device\namedpipe\*

命令管道，我也不懂，非专业人士~~~

显示全部楼层 · 发表于 2014-3-5 17:44:38

lingfei 发表于 2014-3-5 14:43
主要是这个，这个应该可以认为是注入吧~~

他的意思是不是要看到wuauclt.exe有异常行为才算呢？

显示全部楼层 · 发表于 2014-3-5 20:58:08

墨家小子发表于 2014-3-5 17:44
他的意思是不是要看到wuauclt.exe有异常行为才算呢？

其实我觉得用wuauclt.exe删除自身就很耐人寻味了

[可疑文件] VT Detection ratio: 3 / 50 JR.exe 略屌

评分