纽约风暴.exe

显示全部楼层 · 发表于 2014-6-6 21:43:12

http://kuai.xunlei.com/d/5FqBB4oCG8WRUwQAef7

https://www.virustotal.com/en/fi ... nalysis/1402061426/

显示全部楼层 · 发表于 2014-6-6 21:51:50

本帖最后由 cn86li 于 2014-6-10 16:29 编辑

To GD

ticket number is 2014060613530001

Hello,

Thank you for your patience.
The analysis of the file / website has been completed:

It will be detected after the next update (Trojan.Agent.BDJQ).

File exe declared INFECTED

Please do not hesitate to contact us should you have any other inquiries in the future.

Have a great day.

显示全部楼层 · 发表于 2014-6-6 22:10:35

bav启发杀

显示全部楼层 · 发表于 2014-6-6 22:18:40

显示全部楼层 · 发表于 2014-6-6 22:22:37

一朵云出来之后，BD阻止

显示全部楼层 · 发表于 2014-6-6 22:29:33

第一遍双击被BD IDS阻止。explorer被关掉。

第二遍双击，日期被改成2056年。。。IDS AVC同时反应，并删除exe

显示全部楼层 · 发表于 2014-6-6 22:50:09

小咖啡表示无压力，运行一遍，除了测得一堆无意义的注册表操作，无异样（开启见一秒一的犀利规则么就是无法运行，没意义了）
2014/6/6 22:31:31 将由访问保护规则 (当前不强制执行规则) 禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe C:\Windows\System32\winmm.dll 用户定义的规则:禁止未知程序执行系统文件已阻止的操作: 执行
2014/6/6 22:31:31 将由访问保护规则 (当前不强制执行规则) 禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe C:\Windows\System32\winspool.drv 用户定义的规则:禁止未知程序执行系统文件已阻止的操作: 执行
2014/6/6 22:31:31 将由访问保护规则 (当前不强制执行规则) 禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe C:\Windows\System32\sechost.dll 用户定义的规则:禁止未知程序执行系统文件已阻止的操作: 执行
2014/6/6 22:31:31 将由访问保护规则 (当前不强制执行规则) 禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe C:\Windows\winsxs\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_5.82.7601.18201_NONE_EC80F00E8593ECE5\comctl32.dll 用户定义的规则:禁止未知程序执行系统文件已阻止的操作: 执行
2014/6/6 22:31:31 将由访问保护规则 (当前不强制执行规则) 禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe C:\Windows\System32\imm32.dll 用户定义的规则:禁止未知程序执行系统文件已阻止的操作: 执行
2014/6/6 22:31:31 将由访问保护规则 (当前不强制执行规则) 禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe C:\Windows\System32\uxtheme.dll 用户定义的规则:禁止未知程序执行系统文件已阻止的操作: 执行
2014/6/6 22:31:31 将由访问保护规则 (当前不强制执行规则) 禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe C:\Windows\System32\CRYPTBASE.dll 用户定义的规则:禁止未知程序执行系统文件已阻止的操作: 执行
2014/6/6 22:31:31 将由访问保护规则 (当前不强制执行规则) 禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe C:\Windows\System32\dwmapi.dll 用户定义的规则:禁止未知程序执行系统文件已阻止的操作: 执行
2014/6/6 22:31:31 将由访问保护规则 (当前不强制执行规则) 禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe C:\Windows\winsxs\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.18120_none_72d2e82386681b36\GdiPlus.dll 用户定义的规则:禁止未知程序执行系统文件已阻止的操作: 执行
2014/6/6 22:31:31 将由访问保护规则 (当前不强制执行规则) 禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe C:\Windows\Fonts\msmincho.ttc 用户定义的规则:禁止未知程序执行系统文件已阻止的操作: 执行
2014/6/6 22:31:31 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe C:\Windows\System32\net.exe 用户定义的规则:管制1-禁止执行net程序已阻止的操作: 执行
2014/6/6 22:31:31 将由访问保护规则 (当前不强制执行规则) 禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe C:\Windows\System32\WindowsCodecs.dll 用户定义的规则:禁止未知程序执行系统文件已阻止的操作: 执行
2014/6/6 22:31:31 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe C:\Windows\System32\taskkill.exe 用户定义的规则:管制5-禁止执行taskkill类程序已阻止的操作: 执行
2014/6/6 22:31:31 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe \REGISTRY\MACHINE\SOFTWARE\360Safe\safemon 用户定义的规则:禁止未知程序任何注册表操作已阻止的操作: 创建
2014/6/6 22:31:32 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe \REGISTRY\MACHINE\SOFTWARE 用户定义的规则:禁止未知程序任何注册表操作已阻止的操作: 创建
2014/6/6 22:31:32 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe \REGISTRY\MACHINE\SOFTWARE\360Safe 用户定义的规则:禁止未知程序任何注册表操作已阻止的操作: 创建
2014/6/6 22:31:32 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe \REGISTRY\MACHINE\SOFTWARE\360Safe\safemon 用户定义的规则:禁止未知程序任何注册表操作已阻止的操作: 创建
2014/6/6 22:31:32 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe \REGISTRY\MACHINE\SOFTWARE 用户定义的规则:禁止未知程序任何注册表操作已阻止的操作: 创建
2014/6/6 22:31:32 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe \REGISTRY\MACHINE\SOFTWARE\360Safe 用户定义的规则:禁止未知程序任何注册表操作已阻止的操作: 创建
2014/6/6 22:31:32 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe \REGISTRY\MACHINE\SOFTWARE\360Safe\safemon 用户定义的规则:禁止未知程序任何注册表操作已阻止的操作: 创建
2014/6/6 22:31:32 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe \REGISTRY\MACHINE\SOFTWARE 用户定义的规则:禁止未知程序任何注册表操作已阻止的操作: 创建
2014/6/6 22:31:32 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe \REGISTRY\MACHINE\SOFTWARE\360Safe 用户定义的规则:禁止未知程序任何注册表操作已阻止的操作: 创建
2014/6/6 22:31:32 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe \REGISTRY\MACHINE\SOFTWARE\360Safe\safemon 用户定义的规则:禁止未知程序任何注册表操作已阻止的操作: 创建
2014/6/6 22:31:32 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe \REGISTRY\MACHINE\SOFTWARE 用户定义的规则:禁止未知程序任何注册表操作已阻止的操作: 创建
2014/6/6 22:31:32 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe \REGISTRY\MACHINE\SOFTWARE\360Safe 用户定义的规则:禁止未知程序任何注册表操作已阻止的操作: 创建
2014/6/6 22:31:32 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe C:\Windows\System32\taskkill.exe 用户定义的规则:管制5-禁止执行taskkill类程序已阻止的操作: 执行
2014/6/6 22:31:33 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe \Registry\Machine\Software\Classes\.txt 用户定义的规则:禁止未知程序任何注册表操作已阻止的操作: 写入
2014/6/6 22:31:33 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe \REGISTRY\MACHINE\SOFTWARE\Classes\.txt\@ 用户定义的规则:禁止未知程序任何注册表操作已阻止的操作: 创建
2014/6/6 22:31:33 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe \Registry\Machine\Software\Classes\.inf 用户定义的规则:禁止未知程序任何注册表操作已阻止的操作: 写入
2014/6/6 22:31:33 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe \REGISTRY\MACHINE\SOFTWARE\Classes\.inf\@ 用户定义的规则:禁止未知程序任何注册表操作已阻止的操作: 创建
2014/6/6 22:31:33 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 用户定义的规则:禁止未知程序任何注册表操作已阻止的操作: 写入
2014/6/6 22:31:33 已由访问保护规则禁止 SGZ-PC\SGZ C:\Users\SGZ\Downloads\纽约风暴.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 用户定义的规则:禁止未知程序任何注册表操作已阻止的操作: 创建

显示全部楼层 · 发表于 2014-6-6 23:37:50

卡巴右键扫描删除

显示全部楼层 · 发表于 2014-6-6 23:53:19

本帖最后由 fzshot 于 2014-6-29 00:16 编辑

To Dr.Web

Threat: Trojan.Winlock.11391

显示全部楼层 · 发表于 2014-6-7 01:03:16

文件名: 纽约风暴.exe
威胁名称: SONAR.Heuristic.120
完整路径: c:\users\bob\appdata\local\temp\rar$dra0.698\纽约风暴.exe

____________________________

详细信息
极少用户信任的文件, 极新的文件, 风险高

原始
下载自
http://dl3.t14.sendfile.vip.xunlei.com:8000/纽约风暴.rar?key=23ed7b0dc898e48f6bbe34cdbf982943&file_url=/gdrive/resource/86/90/86556076398ACDFAA39FE0B168EB8AB042067D90&file_type=1&authkey=3CDE75744B49A6ADF5B047301146E0EB3858E79EC0E9A61D52AC90B375A6C1B3&exp_time=1404049376&from_uid=125917924&task_id=1217785449087626&get_uid=1000316223&f=lixian.vip.xunlei.com&reduce_cdn=1&fid=RoLERqfDPb8GxjXt52TuTCNKNVhXdSoAAAAAAIZVYHY5is36o5/gsWjrirBCBn2Q&mid=666&threshold=150&tid=FBFDF5D06DF02DAA6412DB6CA1F87767&srcid=7&verno=1

活动
已执行的操作: 4

____________________________

在电脑上的创建时间
2014/6/7 ( 1:02:14 )

上次使用时间
2014/6/7 ( 1:02:14 )

启动项目
否

已启动
是

____________________________

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

http://dl3.t14.sendfile.vip.xunlei.com:8000/纽约风暴.rar?key=23ed7b0dc898e48f6bbe34cdbf982943&file_url=/gdrive/resource/86/90/86556076398ACDFAA39FE0B168EB8AB042067D90&file_type=1&authkey=3CDE75744B49A6ADF5B047301146E0EB3858E79EC0E9A61D52AC90B375A6C1B3&exp_time=1404049376&from_uid=125917924&task_id=1217785449087626&get_uid=1000316223&f=lixian.vip.xunlei.com&reduce_cdn=1&fid=RoLERqfDPb8GxjXt52TuTCNKNVhXdSoAAAAAAIZVYHY5is36o5/gsWjrirBCBn2Q&mid=666&threshold=150&tid=FBFDF5D06DF02DAA6412DB6CA1F87767&srcid=7&verno=1

已下载文件纽约风暴.exe 威胁名称: SONAR.Heuristic.120
自 xunlei.com

来源: 外部介质

winrar.exe

创建的文件:
纽约风暴.exe

____________________________

系统设置操作

事件: 浏览器进程启动 (执行者 c:\users\bob\appdata\local\temp\rar$dra0.698\纽约风暴.exe, PID:3696) 未尝试修复
\REGISTRY\USER\Sandbox_BOB_DefaultBox\Machine\Software\Microsoft\SQMClient (执行者 c:\users\bob\appdata\local\temp\rar$dra0.698\纽约风暴.exe, PID:3696) 未尝试修复
事件: 进程启动: c:\Windows\SysWOW64\ net.exe, PID:6588 (执行者 c:\users\bob\appdata\local\temp\rar$dra0.698\纽约风暴.exe, PID:3696) 未尝试修复
\REGISTRY\USER\SANDBOX_BOB_DEFAULTBOX\machine\software\Wow6432Node\360Safe\safemon:ExecAccess (执行者 c:\users\bob\appdata\local\temp\rar$dra0.698\纽约风暴.exe, PID:3696) 未尝试修复
____________________________

文件指纹 - SHA:
208a0eda787c96574f673f596d7d3501e218b706cdc587b322ed35aa02596b45
文件指纹 - MD5:
不可用

[病毒样本] 纽约风暴.exe

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

浏览过的版块