收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 网络安全(毒网分析) gonload.me/ids/id111/ClimatizarFerrugemLanamento2015 ...
12下一页
返回列表 发新帖
查看: 2698|回复: 18
收起左侧

[未鉴定] gonload.me/ids/id111/ClimatizarFerrugemLanamento2015.exe

[复制链接]
fireold
发表于 2015-4-18 15:02:57 | 显示全部楼层 |阅读模式
gonload.me/ids/id111/ClimatizarFerrugemLanamento2015.exe

avira 雙擊
2015/4/18 下午 02:54 [System Scanner] 掃描
      掃描結束 [已完成全部的掃描.]。
      檔案數:        948
      目錄數:        0
      惡意程式碼數:        0
      警告數:        0

2015/4/18 下午 02:53 [System Scanner] 掃描
      掃描結束 [已完成全部的掃描.]。
      檔案數:        955
      目錄數:        0
      惡意程式碼數:        0
      警告數:        0

2015/4/18 下午 02:51 [Real-Time Protection] 發現惡意程式碼
      在檔案
      'C:\Sandbox\vpn\DefaultBox\user\current\AppData\Local\Microsoft\Windows\INetCach
      e\IE\ENS9WXYQ\310714_br[1].exe 中
      偵測到病毒或有害的程式 'ADWARE/Adware.Gen [adware]'
      執行的動作:傳輸至掃描程式

2015/4/18 下午 02:51 [Real-Time Protection] 發現惡意程式碼
      在檔案
      'C:\Sandbox\vpn\DefaultBox\user\current\AppData\Local\Temp\Temp\Og3CvT78vSMa0N0L
      Pai7Qvtg3CvT78vSMa0N0LPai7Qvt\g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvtg3CvT7
      8vSMa0N0LPai7Qvt_br.exe 中
      偵測到病毒或有害的程式 'ADWARE/Adware.Gen [adware]'
      執行的動作:傳輸至掃描程式

2015/4/18 下午 02:51 [Real-Time Protection] 發現惡意程式碼
      在檔案
      'C:\Sandbox\vpn\DefaultBox\user\current\AppData\Local\Microsoft\Windows\INetCach
      e\IE\ENS9WXYQ\cpuminer-x11opt-setup[1].exe 中
      偵測到病毒或有害的程式 'TR/BitCoinMiner.2586343 [trojan]'
      執行的動作:傳輸至掃描程式

2015/4/18 下午 02:51 [Real-Time Protection] 發現惡意程式碼
      在檔案
      'C:\Sandbox\vpn\DefaultBox\user\current\AppData\Local\Temp\Temp\Og3CvT78vSMa0N0L
      Pai7Qvtg3CvT78vSMa0N0LPai7Qvt\g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvtg3CvT7
      8vSMa0N0LPai7Qvt_br.exe 中
      偵測到病毒或有害的程式 'ADWARE/Adware.Gen [adware]'
      執行的動作:拒絕存取

2015/4/18 下午 02:51 [Real-Time Protection] 發現惡意程式碼
      在檔案
      'C:\Sandbox\vpn\DefaultBox\user\current\AppData\Local\Microsoft\Windows\INetCach
      e\IE\D1JVSCM3\310714_am2[1].exe 中
      偵測到病毒或有害的程式 'ADWARE/Amonetize.311296 [adware]'
      執行的動作:傳輸至掃描程式

2015/4/18 下午 02:51 [Real-Time Protection] 發現惡意程式碼
      在檔案
      'C:\Sandbox\vpn\DefaultBox\user\current\AppData\Local\Temp\Temp\Og3CvT78vSMa0N0L
      Pai7Qvtg3CvT78vSMa0N0LPai7Qvt\g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt_am2.e
      xe 中
      偵測到病毒或有害的程式 'ADWARE/Amonetize.311296 [adware]'
      執行的動作:傳輸至掃描程式

2015/4/18 下午 02:51 [Real-Time Protection] 發現惡意程式碼
      在檔案
      'C:\Sandbox\vpn\DefaultBox\user\current\AppData\Local\Temp\nssBDFA.tmp\cpuminer-
      x11opt-setup.exe 中
      偵測到病毒或有害的程式 'TR/BitCoinMiner.2586343 [trojan]'
      執行的動作:拒絕存取

2015/4/18 下午 02:51 [Real-Time Protection] 發現惡意程式碼
      在檔案
      'C:\Sandbox\vpn\DefaultBox\user\current\AppData\Local\Temp\Temp\Og3CvT78vSMa0N0L
      Pai7Qvtg3CvT78vSMa0N0LPai7Qvt\g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt_am2.e
      xe 中
      偵測到病毒或有害的程式 'ADWARE/Amonetize.311296 [adware]'
      執行的動作:拒絕存取

2015/4/18 下午 02:50 [Real-Time Protection] 發現惡意程式碼
      在檔案
      'C:\Sandbox\vpn\DefaultBox\user\current\AppData\Local\Microsoft\Windows\INetCach
      e\IE\D1JVSCM3\240714_ps[1].exe 中
      偵測到病毒或有害的程式 'ADWARE/BrowseFox.Gen [adware]'
      執行的動作:傳輸至掃描程式

2015/4/18 下午 02:50 [Real-Time Protection] 發現惡意程式碼
      在檔案
      'C:\Sandbox\vpn\DefaultBox\user\current\AppData\Local\Temp\Temp\Og3CvT78vSMa0N0L
      Pai7Qvtg3CvT78vSMa0N0LPai7Qvt\g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt_ps.ex
      e 中
      偵測到病毒或有害的程式 'ADWARE/BrowseFox.Gen [adware]'
      執行的動作:傳輸至掃描程式

2015/4/18 下午 02:50 [Real-Time Protection] 發現惡意程式碼
      在檔案
      'C:\Sandbox\vpn\DefaultBox\user\current\AppData\Local\Temp\Temp\Og3CvT78vSMa0N0L
      Pai7Qvtg3CvT78vSMa0N0LPai7Qvt\g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt_ps.ex
      e 中
      偵測到病毒或有害的程式 'ADWARE/BrowseFox.Gen [adware]'
      執行的動作:拒絕存取

2015/4/18 下午 02:50 [Real-Time Protection] 發現惡意程式碼
      在檔案
      'C:\Sandbox\vpn\DefaultBox\user\current\AppData\Local\Temp\Temp\Og3CvT78vSMa0N0L
      Pai7Qvtg3CvT78vSMa0N0LPai7Qvt\g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvtg3CvT7
      8vSMa0N0LPai7Qvt_cr.exe 中
      偵測到病毒或有害的程式 'ADWARE/Adware.Gen [adware]'
      執行的動作:傳輸至掃描程式

2015/4/18 下午 02:50 [Real-Time Protection] 發現惡意程式碼
      在檔案
      'C:\Sandbox\vpn\DefaultBox\user\current\AppData\Local\Microsoft\Windows\INetCach
      e\IE\UJSM2I9U\310714_cr[1] 中
      偵測到病毒或有害的程式 'ADWARE/Adware.Gen [adware]'
      執行的動作:傳輸至掃描程式

2015/4/18 下午 02:50 [Real-Time Protection] 發現惡意程式碼
      在檔案
      'C:\Sandbox\vpn\DefaultBox\user\current\AppData\Local\Temp\Temp\Og3CvT78vSMa0N0L
      Pai7Qvtg3CvT78vSMa0N0LPai7Qvt\g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvtg3CvT7
      8vSMa0N0LPai7Qvt_cr.exe 中
      偵測到病毒或有害的程式 'ADWARE/Adware.Gen [adware]'
      執行的動作:拒絕存取
回复

举报

jayavira
发表于 2015-4-18 15:06:09 | 显示全部楼层
sshot-3.jpg
回复

举报

ericdj
发表于 2015-4-18 15:18:53 | 显示全部楼层
蛋挞 miss
回复

举报

fireold
 楼主| 发表于 2015-4-18 15:22:16 | 显示全部楼层
ericdj 发表于 2015-4-18 15:18
蛋挞 miss

TP 也 miss...
回复

举报

ericdj
发表于 2015-4-18 15:27:54 | 显示全部楼层
本帖最后由 ericdj 于 2015-4-18 16:21 编辑
fireold 发表于 2015-4-18 15:22
TP 也 miss...

重新编辑完整版
先是没联网
断网1.JPG
关掉沙箱内的应用,就自动转到这个链接
断网2.JPG

联网后,流氓行为尽显啊
申明:1、GD的所有报毒,偶都只是阻止访问(block the access)
2、样本程序的所有联网请求,我都是只允许这一次
先上图吧~~应用程序的主界面(个人赶脚,应为还有一个,联网,没截下来)
联网界面1.JPG

等了半天,GD各种拦截(拦截内容将按时间顺序展示在如下所示的日志上
关键性的拦截
拦截1.JPG

然后,就是提示关机重启了
重启.JPG over.JPG

沙箱里面,都要重启……

点击no
出现了这个
联网界面2.JPG


各种block后,这货似乎安静了不少,


我以为完了,关掉应用……
谁知道又出现了
over-2.JPG


我忍无可忍了……又一次关掉了那个白色框框,又是自动调用ie
over-3.JPG

虽然,还是打开失败了……[:15:]

附日志(按照时间顺序,GD报毒时,我都是阻止访问(block the access)):
[mw_shl_code=html,true]Virus found while downloading content from the web.

Address: http://www.1strequest.me/desprotetor_setup.exe
Status:  Access denied.


Virus found while downloading content from the web.

Address: http://www.1strequest.me/desprotetor_setup.exe
Status:  Access denied.


Virus: Dropped:Trojan.Generic.13164660 (Engine A)
File: g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt_cr.exe
Directory: C:\Sandbox\eric\virus\user\current\AppData\Local\Temp\Temp\Og3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt
Process: Climatizarferrugemlanamento2015.exe


Virus: Dropped:Trojan.Generic.13164660 (Engine A)
File: 310714_cr[1]
Directory: C:\Sandbox\eric\virus\user\current\AppData\Local\Microsoft\Windows\INetCache\IE\EOEJ59ST
Process: Climatizarferrugemlanamento2015.exe


Junkware (PUP): Gen:Variant.Adware.SwiftBrowse.1 (Engine A)

Junkware (PUP) found while loading web content.

Address: http://4threquest.me/310714d/240 ... vT78vSMa0N0LPai7Qvt
Status:         Access denied.


Junkware (PUP): Adware.Generic.1147907 (Engine A)

Junkware (PUP) found while loading web content.

Address: http://4threquest.me/310714d/310 ... vT78vSMa0N0LPai7Qvt
Status:         Access denied.


Junkware (PUP): Dropped:Application.Generic.1179898 (Engine A)
File: g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt_br.exe
Directory: C:\Sandbox\eric\virus\user\current\AppData\Local\Temp\Temp\Og3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt
Process: Climatizarferrugemlanamento2015.exe


Junkware (PUP): Dropped:Application.Generic.1179898 (Engine A)
File: 310714_br[1].exe
Directory: C:\Sandbox\eric\virus\user\current\AppData\Local\Microsoft\Windows\INetCache\IE\EOEJ59ST
Process: Climatizarferrugemlanamento2015.exe


Virus: Trojan.Generic.13169350 (Engine A)
File: cpuminer-x11opt-setup.exe
Directory: C:\Sandbox\eric\virus\user\current\AppData\Local\Temp\nshF385.tmp
Process: g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt_cp.exe



Virus: Trojan.Generic.13169350 (Engine A)
File: cpuminer-x11opt-setup.exe
Directory: C:\Sandbox\eric\virus\user\current\AppData\Local\Temp\nshF385.tmp
Process: g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt_cp.exe



Virus: Trojan.Generic.13169350 (Engine A)
File: cpuminer-x11opt-setup[1].exe
Directory: C:\Sandbox\eric\virus\user\current\AppData\Local\Microsoft\Windows\INetCache\IE\EOEJ59ST
Process: g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt_cp.exe




Junkware (PUP): Win32.Application.Baofeng.A (Engine B)
File: one.zip
Directory: C:\Sandbox\eric\virus\user\current\AppData\Local\Temp\B934D573F69tmp
Process: g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt_a9.exe



Junkware (PUP): Win32.Application.Baofeng.A (Engine B)
File: 1[1].zip
Directory: C:\Sandbox\eric\virus\user\current\AppData\Local\Microsoft\Windows\INetCache\IE\EOEJ59ST
Process: g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt_a9.exe



Junkware (PUP): Win32.Riskware.NJax.C, Win64.Riskware.NJax.D, Win32.Riskware.NJax.D, NSIS.Riskware.NJax.A (Engine B)
File: g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt_nj.exe
Directory: C:\Sandbox\eric\virus\user\current\AppData\Local\Temp\Temp\Og3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt
Process: Climatizarferrugemlanamento2015.exe


Junkware (PUP): Win32.Riskware.NJax.C, Win64.Riskware.NJax.D, Win32.Riskware.NJax.D, NSIS.Riskware.NJax.A (Engine B)
File: 291014_nj[1].exe
Directory: C:\Sandbox\eric\virus\user\current\AppData\Local\Microsoft\Windows\INetCache\IE\K7NE8DH5
Process: Climatizarferrugemlanamento2015.exe



Virus: Gen:Heur.Conjar.1 (Engine A)
File: g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt_gs.exe
Directory: C:\Sandbox\eric\virus\user\current\AppData\Local\Temp\Temp\Og3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt
Process: Climatizarferrugemlanamento2015.exe


Virus: Gen:Heur.Conjar.1 (Engine A)
File: 310714_gs[1]
Directory: C:\Sandbox\eric\virus\user\current\AppData\Local\Microsoft\Windows\INetCache\IE\CT7UI335
Process: Climatizarferrugemlanamento2015.exe


Junkware (PUP): Win32.Application.Baofeng.A (Engine B)
File: 1[1].zip
Directory: C:\Sandbox\eric\virus\user\current\AppData\Local\Microsoft\Windows\INetCache\IE\K7NE8DH5
Process: g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt_a9.exe


Junkware (PUP): Win32.Application.Baofeng.A (Engine B)
File: one.zip
Directory: C:\Sandbox\eric\virus\user\current\AppData\Local\Temp\B934D573F69tmp
Process: g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt_a9.exe


Junkware (PUP): Win32.Application.Baofeng.A (Engine B)
File: 1[1].zip
Directory: C:\Sandbox\eric\virus\user\current\AppData\Local\Microsoft\Windows\INetCache\IE\K7NE8DH5
Process: g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt_a9.exe




允许后
Junkware (PUP): Win32.Application.Baofeng.A (Engine B)
File: one.zip
Directory: C:\Sandbox\eric\virus\user\current\AppData\Local\Temp\B934D573F69tmp
Process: g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt_a9.exe


Junkware (PUP): Win32.Application.Baofeng.A (Engine B)
File: 1[1].zip
Directory: C:\Sandbox\eric\virus\user\current\AppData\Local\Microsoft\Windows\INetCache\IE\CT7UI335
Process: g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt_a9.exe


Junkware (PUP): Win32.Application.Baofeng.A (Engine B)
File: one.zip
Directory: C:\Sandbox\eric\virus\user\current\AppData\Local\Temp\B934D573F69tmp
Process: g3CvT78vSMa0N0LPai7Qvtg3CvT78vSMa0N0LPai7Qvt_a9.exe
[/mw_shl_code]



我要是能表示,这个玩意,里面的内容还是蛮丰富啊[:15:]
@fireold @开开心心卖手机  @天蓝色的忧伤  

评分

参与人数 1人气 +1 收起 理由
fireold + 1 很给力!

查看全部评分

回复

举报

天蓝色的忧伤
发表于 2015-4-18 16:23:57 来自手机 | 显示全部楼层
ericdj 发表于 2015-4-18 15:27
重新编辑完整版
先是没联网


BB威力尽显啊。在国内BB基本就是一个纯本地主防。不过  BAOFENG  是个什么鬼
回复

举报

ericdj
发表于 2015-4-18 16:26:09 | 显示全部楼层
天蓝色的忧伤 发表于 2015-4-18 16:23
BB威力尽显啊。在国内BB基本就是一个纯本地主防。不过  BAOFENG  是个什么鬼

我擦,居然@ 成功了
BAOFENG嘛,你懂的[:01:]
回复

举报

天蓝色的忧伤
发表于 2015-4-18 16:28:21 来自手机 | 显示全部楼层
ericdj 发表于 2015-4-18 16:26
我擦,居然@ 成功了
BAOFENG嘛,你懂的

你这样@,就不怕论坛有人ID叫成功了?
回复

举报

ericdj
发表于 2015-4-18 16:31:27 | 显示全部楼层
天蓝色的忧伤 发表于 2015-4-18 16:28
你这样@,就不怕论坛有人ID叫成功了?

没看到有个空格么?
如果这也能@  成功,我也是醉了
回复

举报

天蓝色的忧伤
发表于 2015-4-18 16:32:08 来自手机 | 显示全部楼层
ericdj 发表于 2015-4-18 16:31
没看到有个空格么?
如果这也能@  成功,我也是醉了


你上面那个@符号变蓝了哟
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-4 16:09 , Processed in 0.134886 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表