病毒样本1份

wenshui1013

链接: http://pan.baidu.com/s/1bn6H00B 密码: m9qr
解压密码是 ：52pojie

完整报告！
本信息

    文件名称：
    1.exe
    MD5：
    3f93854f3638d06d428a6269d18ec5ae
    Sha-1：
    c54a5e71fd6bce9788352664690fa743192fc153
    文件大小：
    1.80MB
    创建时间：
    2014-07-28 11:30:15
    文件类型：
    EXE
    PEID信息：
    UPX 2.93 (LZMA) [RAR SFX] *



火眼点评

      搜索指定窗口;设置文件属性;查找文件;创建进程;创建互斥体;在其他进程中申请内存;检测是否存在指定注册表键;遍历磁盘类型;隐藏指定窗口


其他行为监控

    行为描述：隐藏指定窗口
    附加信息：
    Button : [1.exe]
    ComboBox : [1.exe]


    行为描述：遍历磁盘类型
    附加信息：
    C:


    行为描述：检测是否存在指定注册表键
    附加信息：
    HKEY_CURRENT_USER\Software\WinRAR\General
    HKEY_CURRENT_USER\Software\WinRAR\Paths


    行为描述：在其他进程中申请内存
    附加信息：
    C:\$WinChaboot.A\mig\Rar.exe
    %system%\cmd.exe
    %system%\ping.exe
    %system%\wscript.exe


    行为描述：创建互斥体
    附加信息：
    "OleDfRoot000327C39"
    "Shell.CMruPidlList"
    "_SHuassist.mtx"


    行为描述：创建进程
    附加信息：
    C:\$WinChaboot.A\mig\Rar.exe
    %system%\cmd.exe
    %system%\ping.exe
    %system%\wscript.exe


    行为描述：查找文件
    附加信息：
    "C:\"
    "C:\$WinChaboot.A\mig\32.bat"
    "C:\$WinChaboot.A\mig\32bit.ini"
    "C:\$WinChaboot.A\mig\gpt.ini"
    "C:\$WinChaboot.A\mig\rarreg.*"
    "C:\$WinChaboot.A\mig\test.pfx"
    "C:\$WinChaboot.A\prog\Dump.ini"
    "C:\ProgramData"
    "%system%\ping.*"
    "%system%\ping.COM"
    "%system%\ping.EXE"
    "%system%\GroupPolicy\gpt.ini"
    "C:\ping"
    "C:\ping.*"
    "\\?\C:\$WinChaboot.A\mig\rarreg.*"


    行为描述：设置文件属性
    附加信息：
    $WinChaboot.A >> HIDE >> SYSTEM
    C:\$WinChaboot.A >> HIDE
    C:\$WinChaboot.A >> SYSTEM


    行为描述：搜索指定窗口
    附加信息：
    ["ComboBox" , ""]
    ["EDIT" , ""]





文件操作监控
操作
文件MD5
文件大小
文件路径

新增
404e80c9c5f13b76a2ed2aef23b33674
1362
c:\$WinChaboot.A\mig\32.bat

新增
22aadc1a4583e80c95376683169de4f9
499712
c:\$WinChaboot.A\mig\Rar.exe

新增
81c10ece3999327fc051ac6a0ef79987
40773
c:\$WinChaboot.A\mig\Sbackup.vbe

新增
787218bf6685c33b68f45651f7122263
457892
c:\$WinChaboot.A\mig\SP.exe

新增
aaa984da336e29358742750b39f54bf7
302563
c:\oa\[64[JVMZK8_SSTSO~5$E8MY.jpg

新增
22601ae75ac8bf5f19d055974b64e14c
9645
c:\$WinChaboot.A\prog\DumpUper.ini

新增
1923ce25a34af49fa94fb408e51351e7
870
c:\$WinChaboot.A\prog\skery.lnk

新增
08a28261bcb282eb5bf81b8fa65bff92
3187
c:\$WinChaboot.A\prog\Lang.lnk

新增
6396766e8bf9f25f1f1cbbf774307cc0
297539
c:\$WinChaboot.A\prog\abc1405.dat

新增
dbef0936e09e73c50348a070466dde5c
115576
c:\$WinChaboot.A\mig\64bit.ini

新增
10cdb865fbb266c7de1c3736f963ecf2
208429
c:\$WinChaboot.A\mig\32bit.ini

新增
928a5efb1ddd0cf1a274cb5a15d655e1
148
c:\$WinChaboot.A\prog\ty.lnk

新增
9cabacfc6c4728529edc86200c09f167
596231
c:\$WinChaboot.A\prog\inst.ini

新增
b907388ba7782f5e82919900e1068b48
85097
c:\$WinChaboot.A\prog\dump.ini

新增
28fc496d60a84749a24ff3cd0c874d53
24812
%windir%\2014new.vbe

新增
5af61be2782e7ecb27e44763b2e8f536
81131
c:\$WinChaboot.A\prog\ATIdir.sys

新增
a339078a10109bc468743ce18b976802
6456
c:\$WinChaboot.A\mig\32.vbe


进程操作监控

    创建进程：%system%\ping.exe
    启动参数：ping -n 120 127.1
    创建进程：C:\$WinChaboot.A\mig\Sbackup.vbe
    启动参数：无
    创建进程：%system%\wscript.exe
    启动参数："%system%\WScript.exe" "C:\$WinChaboot.A\mig\Sbackup.vbe"
    创建进程：%system%\cmd.exe
    启动参数："%system%\cmd.exe" /C C:\$WinChaboot.A\mig\32.bat

Dust-;羅錠

IKARUS
1.exe - SIGNATURE FOUND "Trojan.VBS.Kryptik"

XywCloud

和昨天的样本一样。重复了

wenshui1013

XywCloud 发表于 2014-7-29 11:32
和昨天的样本一样。重复了

没发现。。谢谢提醒。

a445441

zjccsg

360TS 未开伞和BD。以前下载加密文件会弹出输入解压密码对话框进行查杀，今天下下来直接提示File is safe，解压后扫描才报。

guoxiaokang77

ESS解压拦截

折腾哥

卡巴斯基MISS

利刀1937

Dust-;羅錠

To Dr.Web