一个传播于各大论坛的电影播放器病毒（看是不是病毒）

散友于夏

.
发布者说是误报....没病毒...
还说经过火眼检测的，我实机测试了一下（我用的360，默认设置）






我实机测试了一下（我用的360，默认设置）
360QVM误报倒是有可能的（360QVM也提示了）后面360又提示两次都给了明确的病毒名和定义（感染型）
一般360具体给出病毒名字的，尤其是木马病毒的还是感染型的，误报的可能性很低....






















样本地址：链接: http://pan.baidu.com/s/1dDsBUvf 密码: 8faw


.

wjy19800315

FSCS12杀

pal家族

你好！别来无恙！

pal家族

Filename: 神搜啦2.2.exe
Threat name: SONAR.Heuristic.120   Full Path: Not Available

____________________________

____________________________


On computers as of 
2015/7/14 at 17:29:04

Last Used 
2015/7/14 at 17:29:04

Startup Item 
No

Launched 
Yes

SONAR Protection monitors for suspicious program activity on your computer.


____________________________


神搜啦2.2.exe Threat name: SONAR.Heuristic.120
Locate


Very Few Users
Fewer than 5 users in the Norton Community have used this file.

Very New
This file was released less than 1 week  ago.

High
This file risk is high.


____________________________


Source: External Media

Source File:
7zfm.exe

File Created:
神搜啦2.2.exe

____________________________

File Actions

File: d:\360安全浏览器下载\ 神搜啦2.2.exe Threat Removed
____________________________

Registry Actions

Registry change: HKEY_USERS\S-1-5-21-3586500503-2481598044-4063237542-1001\Software\ SogouInput.user->SogouComponentFirstLoad:1436866117, Registry Hive: 64 bit Repaired
Registry change: HKEY_USERS\S-1-5-21-3586500503-2481598044-4063237542-1001\Software\ SogouInput.user->Used:1436866117, Registry Hive: 64 bit Repaired
____________________________

Network Actions

Event: Network activity (Performed by d:\360安全浏览器下载\神搜啦2.2.exe, PID:1804) No action taken
____________________________

System Settings Actions

Event: Process start (Performed by d:\360安全浏览器下载\神搜啦2.2.exe, PID:1804) No action taken
(Performed by d:\360安全浏览器下载\神搜啦2.2.exe, PID:1804) No action taken
Event: Process start: d:\360安全浏览器下载\ 神搜啦2.2.exe, PID:1804 (Performed by d:\360安全浏览器下载\神搜啦2.2.exe, PID:1804) No action taken
____________________________


File Thumbprint - SHA:
Not available
File Thumbprint - MD5:
Not available

Ｍy↘じ★ve

COMODO missed

threatfire

steven_lzs

EAV扫描MISS，信誉中显示危险！

bbszy

pal家族 发表于 2015-7-14 17:29
Filename: 神搜啦2.2.exe
Threat name: SONAR.Heuristic.120   Full Path: Not Available

话说我又开始用趋势了。。。才算了一个号

神迹般存在

BAV未报
已上传HOB文件分析系统，分析了他的壳和代码，唯一可疑的行为是写了一系列的权限映射文件（一般是个软件都会写吧...），最主要是隐藏了一些指定窗口，光看代码没法判断，也请虚拟机用户帮忙反编译一下，是哪些窗口，窗口代号为：
[Window,Class] = [,Afx:400000:8]
[Window,Class] = [,Afx:400000:b:10011:0:0]
附HOB检测结果：
[mw_shl_code=css,true]基本信息
文件名称：       
神搜啦2.2.exe
MD5：        e3b90e5235b90670ac82409cc7a674e3
文件类型：        EXE
上传时间：        2015-07-14 18:52:36
出品公司：        aiqc
版本：        1.0.0.0---1.0.0.0
壳或编译器信息：        COMPILER:Elan
关键行为
行为描述：        写权限映射文件
详情信息：       
CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500
\Documents and Settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
MSCTF.MarshalInterface.FileMap.ECI..FGBJG
MSCTF.MarshalInterface.FileMap.ECI.B.FHBJG
MSCTF.MarshalInterface.FileMap.ECI.C.FHBJG
MSCTF.MarshalInterface.FileMap.ECI.D.FHBJG
MSCTF.MarshalInterface.FileMap.ECI.E.EIBJG
MSCTF.MarshalInterface.FileMap.ECI.F.EIBJG
MSCTF.MarshalInterface.FileMap.ECI.G.EIBJG
MSCTF.Shared.SFM.ECI
MSCTF.MarshalInterface.FileMap.ECI.H.DGFNG
MSCTF.MarshalInterface.FileMap.ECI.I.DHFNG
MSCTF.MarshalInterface.FileMap.ECI.J.DHFNG
MSCTF.MarshalInterface.FileMap.ECI.K.DHFNG
MSCTF.MarshalInterface.FileMap.ECI.L.DHFNG
行为描述：        隐藏指定窗口
详情信息：       
[Window,Class] = [,Afx:400000:8]
[Window,Class] = [,Afx:400000:b:10011:0:0]
文件行为
行为描述：        写权限映射文件
详情信息：       
CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500
\Documents and Settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
MSCTF.MarshalInterface.FileMap.ECI..FGBJG
MSCTF.MarshalInterface.FileMap.ECI.B.FHBJG
MSCTF.MarshalInterface.FileMap.ECI.C.FHBJG
MSCTF.MarshalInterface.FileMap.ECI.D.FHBJG
MSCTF.MarshalInterface.FileMap.ECI.E.EIBJG
MSCTF.MarshalInterface.FileMap.ECI.F.EIBJG
MSCTF.MarshalInterface.FileMap.ECI.G.EIBJG
MSCTF.Shared.SFM.ECI
MSCTF.MarshalInterface.FileMap.ECI.H.DGFNG
MSCTF.MarshalInterface.FileMap.ECI.I.DHFNG
MSCTF.MarshalInterface.FileMap.ECI.J.DHFNG
MSCTF.MarshalInterface.FileMap.ECI.K.DHFNG
MSCTF.MarshalInterface.FileMap.ECI.L.DHFNG
其他行为
行为描述：        创建互斥体
详情信息：       
RasPbFile
CTF.LBES.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Compart.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Asm.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TMD.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1645522239-1417001333-500MUTEX.DefaultS-1-5-21-1482476501-1645522239-1417001333-500
MSCTF.Shared.MUTEX.AEH
MSCTF.Shared.MUTEX.ECI
行为描述：        查找指定窗口
详情信息：       
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
行为描述：        隐藏指定窗口
详情信息：       
[Window,Class] = [,Afx:400000:8]
[Window,Class] = [,Afx:400000:b:10011:0:0]
行为描述：        窗口信息
详情信息：       
Pid = 2080, Hwnd=0x301c0, Text = 神搜 - 在线安装, ClassName = MxSoft.MxUI.WindowClass.Window.[/mw_shl_code]
运行截图

@pal家族 卡巴应该是当作色Q拨号器误报了。

pal家族

bbszy 发表于 2015-7-14 18:50
话说我又开始用趋势了。。。才算了一个号

嗯啊~玩玩嘛~