基本信息
关键行为
进程行为
文件行为
注册表行为
其他行为
运行截图
基本信息
文件名称:
.exe
MD5: b86814d465bd209ce0ed3376623e13cf
文件类型: EXE
上传时间: 2014-12-03 00:41:11
出品公司: N/A
版本: 999.999.0.1013---999.999.1013
壳或编译器信息: COMPILER:Microsoft Visual Basic 5.0 / 6.0
关键行为
行为描述: 隐藏指定窗口
详情信息:
[Window,Class] = [,ComboLBox]
[Window,Class] = [List,ThunderRT6FormDC]
行为描述: 修改注册表_任务管理器关键属性
详情信息:
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
行为描述: 设置特殊文件夹属性
详情信息:
C:\monitor\sample
C:\AnalyzeControl
C:\Documents and Settings
C:\EasyWebSvr
C:\Microsoft+Office
C:\monitor
C:\Program Files
C:\Python27
C:\StaticAnalyze
C:\WINDOWS
C:\WINDOWS\addins
C:\WINDOWS\AppPatch
C:\WINDOWS\assembly
C:\WINDOWS\Config
C:\WINDOWS\Cursors
行为描述: 修改注册表_禁用注册表编辑器项
详情信息:
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
行为描述: 自删除
详情信息:
C:\%temp%\1417537716.267027.exe
行为描述: 修改注册表_启动项
详情信息:
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FolderRaper
进程行为
行为描述: 创建进程
详情信息:
ImagePath = C:\WINDOWS\explorer.exe, CmdLine = explorer c:\monitor\sample
ImagePath = C:\WINDOWS\regedit.exe, CmdLine = regedit /s c:\monitor\Funny!.reg
ImagePath = C:\WINDOWS\regedit.exe, CmdLine = regedit /s C:\Windows\System32\Funny!.reg
行为描述: 创建新文件进程
详情信息:
ImagePath = C:\Windows\System32\scvhost.exe, CmdLine = C:\Windows\System32\scvhost.exe
文件行为
行为描述: 写权限映射文件
详情信息:
DfSharedHeapBC2E0
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFC2E3.tmp
DfRoot0000BC2E0
行为描述: 设置特殊文件夹属性
详情信息:
C:\monitor\sample
C:\AnalyzeControl
C:\Documents and Settings
C:\EasyWebSvr
C:\Microsoft+Office
C:\monitor
C:\Program Files
C:\Python27
C:\StaticAnalyze
C:\WINDOWS
C:\WINDOWS\addins
C:\WINDOWS\AppPatch
C:\WINDOWS\assembly
C:\WINDOWS\Config
C:\WINDOWS\Cursors
行为描述: 修改文件内容
详情信息:
C:\monitor\Funny!.reg---> Offset = 0
C:\WINDOWS\system32\Funny!.reg---> Offset = 0
行为描述: 自删除
详情信息:
C:\%temp%\1417537716.267027.exe
行为描述: 创建可执行文件
详情信息:
C:\WINDOWS\system32\scvhost.exe
C:\AnalyzeControl.exe
C:\Documents and Settings.exe
C:\EasyWebSvr.exe
C:\Microsoft+Office.exe
C:\monitor.exe
C:\Program Files.exe
C:\Python27.exe
C:\StaticAnalyze.exe
C:\WINDOWS.exe
C:\WINDOWS\addins.exe
C:\WINDOWS\AppPatch.exe
C:\WINDOWS\assembly.exe
C:\WINDOWS\Config.exe
C:\WINDOWS\Cursors.exe
注册表行为
行为描述: 修改注册表_Explorer文件显示相关属性
详情信息:
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
行为描述: 修改注册表_任务管理器关键属性
详情信息:
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
行为描述: 修改注册表_文件夹关键属性
详情信息:
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
行为描述: 修改注册表
详情信息:
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\X\BaseClass
\REGISTRY\MACHINE\SOFTWARE\Classes\exefile\NeverShowExt
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\VB and VBA Program Settings\ShitMaker\Info\ActivedEXE
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\VB and VBA Program Settings\ShitMaker\Info\LastStartTime
行为描述: 修改注册表_禁用注册表编辑器项
详情信息:
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
行为描述: 修改注册表_启动项
详情信息:
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FolderRaper
其他行为
行为描述: 创建驱动文件镜像
详情信息:
C:\WINDOWS\system32\drivers\fastfat.sys
行为描述: 查找指定窗口
详情信息:
NtUserFindWindowEx: [Class,Window] = [RegEdit_RegEdit,]
行为描述: 隐藏指定窗口
详情信息:
[Window,Class] = [,ComboLBox]
[Window,Class] = [List,ThunderRT6FormDC]
行为描述: 创建互斥体
详情信息:
SHIMLIB_LOG_MUTEX
行为描述: 获取系统权限
详情信息:
SE_LOAD_DRIVER_PRIVILEGE
|
楼主: tiandaohengzai
发表于 2014-12-3 00:41:48
楼主
