QQ粘虫，群共享里的

wjcharles

请先把扩展名改为.bz2,现在的rar是我改的，不然没法上传附件

https://www.virustotal.com/en/fi ... nalysis/1400571373/

解压后，文件无后缀（原样本如此），还需要手动改为.rar，再解压出exe

NIS已杀，不过直接扫压缩包不杀



文件名: 资料.exe
威胁名称: Suspicious.Cloud.7.EP
完整路径: c:\users\sshss\downloads\聚会照片\聚会照片\资料.exe

____________________________



详细信息
未知的社区使用情况,  未知的文件存在时间,  风险 高





原始
下载自
 未知





活动
已执行的操作: 已执行的操作: 1



____________________________



在电脑上的创建时间 
2014/5/20 ( 15:39:59 )


上次使用时间 
2014/5/20 ( 15:39:59 )


启动项目 
否


已启动 
否


____________________________


未知
诺顿社区中使用了此文件的用户数 未知。

未知
此文件版本当前 未知。

高
此文件具有高风险。

威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。



____________________________



来源: 外部介质



____________________________

文件操作

文件: c:\users\sshss\downloads\聚会照片\聚会照片\ 资料.exe 已阻止
____________________________


文件指纹 - SHA:
3f20b25fc5795af0430d0dd05036fd73a251aae953ed142391fead3f99dc5868
文件指纹 - MD5:
不可用

消停

你这是7EP启发杀的！应该只有在上传或下载后才会触发！其实和下载智能分析类似！绕过后就很难再次触发了！

入库或SONAR杀了才算：

文件名: 资料.exe
威胁名称: SONAR.Heuristic.112
完整路径: 不可用
___________________________

详细信息
极少用户信任的文件,  极新的文件,  风险 高

原始
下载自
 未知

活动
已执行的操作: 6
____________________________

在电脑上的创建时间 
2014-5-20 ( 16:09:24 )

上次使用时间 
2014-5-20 ( 16:09:24 )

启动项目 
否

已启动 
是
____________________________

极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

来源: 外部介质

源文件:
资料.exe
____________________________

文件操作

文件: f:\norton样本\ 资料.exe 已删除
文件: c:\Users\administrator\AppData\LocalLow\SogouPY\components\ componentconfig.ini 已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-1071228153-3121885108-811120218-500\Software\ SogouInput.user->SogouComponentFirstLoad:1400573348 已修复
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\资料.exe, PID:2880) 未采取操作
事件: 进程启动: f:\norton样本\ 资料.exe, PID:2880 (执行者 f:\norton样本\资料.exe, PID:2880) 未采取操作
____________________________

可疑操作

事件: 击键捕获 (执行者 f:\norton样本\资料.exe, PID:2880) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

wjhstu-VxG

消停 发表于 2014-5-20 16:06
你这是7EP启发杀的！应该只有在上传或下载后才会触发！其实和下载智能分析类似！绕过后就很难再次触发了！
...

真！专家！

饭@avast

ESET报 Win32.FlyStudio变种。貌似前几天几个粘虫也是这么报

cn86li

To Kaspersky

[KLAN-1637257167]

New malicious software was found in the attached file.
##.exe_ - Trojan-PSW.Win32.QQPass.cbyf
Its detection will be included in the next update.

XywCloud

bav、巡警、费尔扫描均被过

Dust-;羅錠

To Dr.Web

[drweb.com #4736408]

---

Your submission has been analyzed. A corresponding record has been added to the Dr.Web virus database and will be available with the next update.

Threat: Trojan.PWS.Qqpass.10850

Thank you for the cooperation.

wjcharles

消停 发表于 2014-5-20 16:06
你这是7EP启发杀的！应该只有在上传或下载后才会触发！其实和下载智能分析类似！绕过后就很难再次触发了！
...

确实，我先双击的，出现粘虫弹窗，NIS无反应（win8），准备上传exe到VT才杀。
再次双击，附图一张，很好奇这种粘虫，完全不影响QQ，怎么会被检测到有行为

消停

wjcharles 发表于 2014-5-21 00:34
确实，我先双击的，出现粘虫弹窗，NIS无反应（win8），准备上传exe到VT才杀。
再次双击，附图一 ...

可能系统不一样吧！我这里刚弹窗就被杀掉了！另外你开高级监控了？

wjcharles

消停 发表于 2014-5-21 07:12
可能系统不一样吧！我这里刚弹窗就被杀掉了！另外你开高级监控了？

没开，就是右键里面的文件智能分析，里面还能显示外联的ip等，功能强大