每日样本（3.6）

显示全部楼层 · 发表于 2015-3-6 08:32:54

本帖最后由莒县小哥于 2015-3-6 08:34 编辑

过 360TS

基本信息
文件名称：
ENT.exe.bin.zip
MD5： 1897ea931dd06bed9ecdaf4c94b4ce18
文件类型： zip
上传时间： 2015-03-06 08:33:35
出品公司： N/A
版本： N/A
壳或编译器信息： PACKER:ASProtect 1.0 -> Alexey Solodovnikov
子文件信息：详情
关键行为
行为描述：检测自身是否被调试
详情信息：
N/A
行为描述：隐藏指定窗口
详情信息：
[Window,Class] = [,ComboLBox]
行为描述：查找反病毒常用工具窗口
详情信息：
NtUserFindWindowEx: [Class,Window] = [FilemonClass,]
NtUserFindWindowEx: [Class,Window] = [RegmonClass,]
文件行为
行为描述：写权限映射文件
详情信息：
CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500
MSCTF.MarshalInterface.FileMap.ANJ..OGHFF
MSCTF.MarshalInterface.FileMap.ANJ.B.OHHFF
MSCTF.MarshalInterface.FileMap.ANJ.C.OHHFF
MSCTF.MarshalInterface.FileMap.ANJ.D.OHHFF
MSCTF.MarshalInterface.FileMap.ANJ.E.OHHFF
MSCTF.MarshalInterface.FileMap.ANJ.F.OHHFF
MSCTF.MarshalInterface.FileMap.ANJ.G.OHHFF
MSCTF.Shared.SFM.ANJ
行为描述：修改文件内容
详情信息：
C:\WINDOWS\win.ini---> Offset = 477
注册表行为
行为描述：修改注册表
详情信息：
\REGISTRY\MACHINE\SOFTWARE\Classes\.key\
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\ENT2\SHA\TI2
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\FTP\Timeout
其他行为
行为描述：检测自身是否被调试
详情信息：
N/A
行为描述：创建互斥体
详情信息：
CTF.LBES.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Compart.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Asm.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TMD.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1645522239-1417001333-500MUTEX.DefaultS-1-5-21-1482476501-1645522239-1417001333-500
MSCTF.Shared.MUTEX.AEH
MSCTF.Shared.MUTEX.ANJ
行为描述：隐藏指定窗口
详情信息：
[Window,Class] = [,ComboLBox]
行为描述：查找指定窗口
详情信息：
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [,NuMega SoftICE Loader]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
NtUserFindWindowEx: [Class,Window] = [OleMainThreadWndClass,]
行为描述：尝试打开调试器或监控软件的驱动设备对象
详情信息：
\??\SICE
\??\NTICE
行为描述：窗口信息
详情信息：
Pid = 2508, Hwnd=0x1044a, Text = NBScan, ClassName = TTabSheet.
Pid = 2508, Hwnd=0x10454, Text = St&op, ClassName = TBitBtn.
Pid = 2508, Hwnd=0x10452, Text = &Go, ClassName = TBitBtn.
Pid = 2508, Hwnd=0x10444, Text = LMHosts, ClassName = TTabSheet.
Pid = 2508, Hwnd=0x1043c, Text = Shares, ClassName = TTabSheet.
Pid = 2508, Hwnd=0x1043e, Text = Connect , ClassName = TGroupBox.
Pid = 2508, Hwnd=0x10356, Text = NetStat, ClassName = TTabSheet.
Pid = 2508, Hwnd=0x2035a, Text = 5, ClassName = TRxSpinEdit.
Pid = 2508, Hwnd=0x10448, Text = NBScan: Idle, ClassName = TStatusBar.
Pid = 2508, Hwnd=0x10352, Text = Essential NetTools - Evaluation Version, ClassName = TForm1.
行为描述：枚举窗口
详情信息：
N/A
行为描述：查找反病毒常用工具窗口
详情信息：
NtUserFindWindowEx: [Class,Window] = [FilemonClass,]
NtUserFindWindowEx: [Class,Window] = [RegmonClass,]

显示全部楼层 · 发表于 2015-3-6 08:34:17

显示全部楼层 · 发表于 2015-3-6 09:18:10

过红伞，触发APC上传

显示全部楼层 · 发表于 2015-3-6 10:16:30

显示全部楼层 · 发表于 2015-3-6 10:28:32

金山 win32.heur.kvmh004.a

显示全部楼层 · 发表于 2015-3-6 10:42:31

软件指向官网
TamoSoft 网络分析工具和安全软件
http://www.tamos.cn/content/
relay 病毒？

显示全部楼层 · 发表于 2015-3-6 13:39:28

趋势科技简中8.0miss

显示全部楼层 · 发表于 2015-3-6 16:50:09

Result: Safe

显示全部楼层 · 发表于 2015-3-7 13:50:17

火绒下载即杀~

[病毒样本] 每日样本（3.6）

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块