本帖最后由 fuzhk 于 2014-10-30 22:52 编辑
文件分析不知道为什么良好。
文件名: h1m4i1-1001-16108.exe
完整路径: F:\Infected\h1m4i1-1001-16108.exe
____________________________
详细信息
稳定性未知, 极少用户信任的文件, 极新的文件, 良好
活动
已执行的操作: 已执行的可疑操作: 无
未知
此程序的崩溃历史记录未知。
极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。
极新的文件
该文件已在 不到 1 周 前发行。
良好
诺顿为此文件指定的分级为一般。
文件指纹 - SHA:
220ae7ae4319c7054462636e6be743037b8bbf753e161891dd7dd5f4b568d477
文件指纹 - MD5:
2f417ad311ca73ac438edcfb686a6777
衍生物
文件名: appers_7_2715.exe
威胁名称: Trojan.Gen.2
完整路径: c:\sandbox\toshiba\defaultbox\drive\c\program files\appers_7_2715.exe
____________________________
详细信息
未知的社区使用情况, 未知的文件存在时间, 风险 高
原始
下载自
未知
活动
已执行的操作: 已执行的操作: 1
____________________________
在电脑上的创建时间
2014/10/30 ( 22:44:31 )
上次使用时间
2014/10/30 ( 22:44:31 )
启动项目
否
已启动
否
____________________________
未知
诺顿社区中使用了此文件的用户数 未知。
未知
此文件版本当前 未知。
高
此文件具有高风险。
威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
____________________________
来源: 外部介质
____________________________
文件操作
文件: c:\sandbox\toshiba\defaultbox\drive\c\program files\ appers_7_2715.exe 已阻止
____________________________
文件指纹 - SHA:
19df7ee553e7bf41e4f0f27a265230f584779fb063176deefefda56b89fb9be7
文件指纹 - MD5:
不可用
最终sonar干掉了源文件
文件名: h1m4i1-1001-16108.exe
威胁名称: SONAR.Dropper
完整路径: 不可用
____________________________
详细信息
极少用户信任的文件, 极新的文件, 风险 高
原始
下载自
未知
活动
已执行的操作: 42
____________________________
在电脑上的创建时间
2014/10/30 ( 22:43:48 )
上次使用时间
2014/10/30 ( 22:43:48 )
启动项目
否
已启动
是
____________________________
极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。
极新的文件
该文件已在 不到 1 周 前发行。
高
此文件具有高风险。
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
来源: 外部介质
源文件:
winrar.exe
创建的文件:
h1m4i1-1001-16108.exe
____________________________
文件操作
文件: f:\infected\sb\ h1m4i1-1001-16108.exe 已删除
____________________________
注册表操作
注册表更改: HKEY_USERS\Sandbox_TOSHIBA_DefaultBox\user\current_CLASSES\ CLSID 已删除
注册表更改: HKEY_USERS\SANDBOX_TOSHIBA_DEFAULTBOX\user\current_classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache->F:\Infected\SB\ h1m4i1-1001-16108.exe 已删除
注册表更改: HKEY_USERS\Sandbox_TOSHIBA_DefaultBox\user\current\SOFTWARE\Microsoft\Windows\CurrentVersion\ Internet Settings 已删除
注册表更改: HKEY_USERS\Sandbox_TOSHIBA_DefaultBox\user\current\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ Connections 不需要操作
注册表更改: HKEY_USERS\SANDBOX_TOSHIBA_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\ Internet Settings->ProxyEnable 不需要操作
注册表更改: HKEY_USERS\SANDBOX_TOSHIBA_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ Connections->SavedLegacySettings 不需要操作
注册表更改: HKEY_USERS\Sandbox_TOSHIBA_DefaultBox\user\current\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap 不需要操作
注册表更改: HKEY_USERS\Sandbox_TOSHIBA_DefaultBox\machine\Software\Microsoft\Windows\CurrentVersion\ Internet Settings 已删除
注册表更改: HKEY_USERS\Sandbox_TOSHIBA_DefaultBox\machine\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap 不需要操作
注册表更改: HKEY_USERS\SANDBOX_TOSHIBA_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap->UNCAsIntranet 不需要操作
注册表更改: HKEY_USERS\SANDBOX_TOSHIBA_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap->AutoDetect 不需要操作
注册表更改: HKEY_USERS\SANDBOX_TOSHIBA_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap->UNCAsIntranet:0 不需要操作
注册表更改: HKEY_USERS\SANDBOX_TOSHIBA_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap->AutoDetect:1 不需要操作
注册表更改: HKEY_USERS\Sandbox_TOSHIBA_DefaultBox\user\current\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ 5.0 不需要操作
注册表更改: HKEY_USERS\Sandbox_TOSHIBA_DefaultBox\user\current\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\ Cache 不需要操作
注册表更改: HKEY_USERS\Sandbox_TOSHIBA_DefaultBox\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\ Content 不需要操作
注册表更改: HKEY_USERS\SANDBOX_TOSHIBA_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\ Content->CachePrefix 不需要操作
注册表更改: HKEY_USERS\Sandbox_TOSHIBA_DefaultBox\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\ Cookies 不需要操作
注册表更改: HKEY_USERS\SANDBOX_TOSHIBA_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\ Cookies->CachePrefix 不需要操作
注册表更改: HKEY_USERS\Sandbox_TOSHIBA_DefaultBox\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\ History 不需要操作
注册表更改: HKEY_USERS\SANDBOX_TOSHIBA_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\ History->CachePrefix 不需要操作
注册表更改: HKEY_USERS\Sandbox_TOSHIBA_DefaultBox\user\current\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ Wpad 不需要操作
注册表更改: HKEY_USERS\Sandbox_TOSHIBA_DefaultBox\user\current\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ P3P 不需要操作
注册表更改: HKEY_USERS\Sandbox_TOSHIBA_DefaultBox\user\current\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\ History 不需要操作
注册表更改: HKEY_USERS\Sandbox_TOSHIBA_DefaultBox\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\ {1714BBCD-466B-4887-88D4-DF265187360B}_{FF0DBCF9-23FA-4E16-B7DA-C64CDC571C7C} 不需要操作
注册表更改: HKEY_USERS\SANDBOX_TOSHIBA_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\ {1714BBCD-466B-4887-88D4-DF265187360B}_{FF0DBCF9-23FA-4E16-B7DA-C64CDC571C7C}->WpadDecisionReason 不需要操作
注册表更改: HKEY_USERS\SANDBOX_TOSHIBA_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\ {1714BBCD-466B-4887-88D4-DF265187360B}_{FF0DBCF9-23FA-4E16-B7DA-C64CDC571C7C}->WpadDecisionTime 不需要操作
注册表更改: HKEY_USERS\SANDBOX_TOSHIBA_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\ {1714BBCD-466B-4887-88D4-DF265187360B}_{FF0DBCF9-23FA-4E16-B7DA-C64CDC571C7C}->WpadDecision 不需要操作
注册表更改: HKEY_USERS\SANDBOX_TOSHIBA_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\ {1714BBCD-466B-4887-88D4-DF265187360B}_{FF0DBCF9-23FA-4E16-B7DA-C64CDC571C7C}->WpadNetworkName 不需要操作
注册表更改: HKEY_USERS\SANDBOX_TOSHIBA_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\ {1714BBCD-466B-4887-88D4-DF265187360B}_{FF0DBCF9-23FA-4E16-B7DA-C64CDC571C7C}->WpadDecisionReason:2 不需要操作
注册表更改: HKEY_USERS\SANDBOX_TOSHIBA_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\ {1714BBCD-466B-4887-88D4-DF265187360B}_{FF0DBCF9-23FA-4E16-B7DA-C64CDC571C7C}->WpadDecisionTime:... 不需要操作
注册表更改: HKEY_USERS\SANDBOX_TOSHIBA_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\ {1714BBCD-466B-4887-88D4-DF265187360B}_{FF0DBCF9-23FA-4E16-B7DA-C64CDC571C7C}->WpadDecision:0 不需要操作
注册表更改: HKEY_USERS\SANDBOX_TOSHIBA_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\ {1714BBCD-466B-4887-88D4-DF265187360B}_{FF0DBCF9-23FA-4E16-B7DA-C64CDC571C7C}->WpadNetworkName:未识别的网络 不需要操作
____________________________
网络操作
事件: 网络活动 (执行者 f:\infected\sb\h1m4i1-1001-16108.exe, PID:5300) 未采取操作
事件: 已触发自动防护 (执行者 f:\infected\sb\h1m4i1-1001-16108.exe, PID:5300) 未采取操作
____________________________
系统设置操作
事件: 浏览器进程启动 (执行者 f:\infected\sb\h1m4i1-1001-16108.exe, PID:5300) 未采取操作
(执行者 f:\infected\sb\h1m4i1-1001-16108.exe, PID:5300) 未采取操作
事件: PE 文件创建: c:\Sandbox\TOSHIBA\defaultbox\drive\C\program files\ lssdjt_10158-0.exe (执行者 f:\infected\sb\h1m4i1-1001-16108.exe, PID:5300) 未采取操作
事件: 进程启动: c:\Sandbox\TOSHIBA\defaultbox\drive\C\program files\ lssdjt_10158-0.exe, PID:3948 (执行者 f:\infected\sb\h1m4i1-1001-16108.exe, PID:5300) 未采取操作
事件: PE 文件创建: c:\sandbox\toshiba\defaultbox\drive\c\program files\ appers_7_2715.exe (执行者 f:\infected\sb\h1m4i1-1001-16108.exe, PID:5300) 未采取操作
事件: 进程启动: f:\infected\sb\ h1m4i1-1001-16108.exe, PID:5300 (执行者 f:\infected\sb\h1m4i1-1001-16108.exe, PID:5300) 未采取操作
____________________________
文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
最终留下了一个日历软件未删除。 |
楼主: 00000q
发表于 2014-10-30 22:23:36
瑞星MISS
