流氓下载器

电脑发烧友

见鬼，AVG右键不杀监控杀

steven_lzs

EAV8 MISS

ksss5566

尘梦幽然 发表于 2015-7-20 22:14
说实在话这些东西真的是一大难题。
不过比社工要简单，有的软件纯属社工，比如CF刷枪类，这样的话程序设 ...

专门搜了下CF刷枪，赤果果的骗术啊，哪个安软都防不住啊。学习了。

skyboybone

实机，打开之后就开始不停下载。虽然金山拦截到一个，但看阵势，我不敢再测试下去了。

thevil

comodo cfw 默认沙箱运行。下载了好多好多奇怪东西。
也是担心穿了沙盒，先开了影子系统，再下载点击楼主样本的。
防流氓真得需要HIPS。杀软防不了流氓。
毛豆在点击样本的时候提示虚拟运行，之后，就是几个联网的提示。那些奇怪的软件也就自动安装了。。。
毛豆默认设置。

zl181503

过火绒，上报

hacker22

Avira Free Antivirus
报告文件日期： 2015年7月25日  02:03


程序正以无限制的完整版的形式运行.
可以使用在线服务.

被许可人         : Avira Antivirus Free
序列号          : 0000149996-AVHOE-0000001
平台           : Windows 7 Professional
Windows 版本   : (Service Pack 1)  [6.1.7601]
启动模式         : 已正常启动
用户名          : Administrator
计算机名称        : USER-5NVPL82GPR

版本信息：
BUILD.DAT    : 14.0.3.350     56624 Bytes  2014-02-25 15:14:00
AVSCAN.EXE   : 14.0.3.332   1058384 Bytes  2014-02-25 07:13:59
AVSCANRC.DLL : 14.0.3.252     24632 Bytes  2014-02-25 07:13:59
LUKE.DLL     : 14.0.3.336     65616 Bytes  2014-02-25 07:14:01
AVSCPLR.DLL  : 14.0.3.336    124496 Bytes  2014-02-25 07:13:59
AVREG.DLL    : 14.0.3.336    250448 Bytes  2014-02-25 07:13:59
avlode.dll   : 14.0.3.336    544848 Bytes  2014-02-25 07:13:59
avlode.rdf   : 14.0.3.14      58589 Bytes  2014-02-25 07:13:59
VBASE000.VDF : 7.11.70.0   66736640 Bytes  2013-04-04 07:14:03
VBASE001.VDF : 7.11.74.226  2201600 Bytes  2013-04-30 07:14:03
VBASE002.VDF : 7.11.80.60   2751488 Bytes  2013-05-28 07:14:03
VBASE003.VDF : 7.11.85.214  2162688 Bytes  2013-06-21 07:14:03
VBASE004.VDF : 7.11.91.176  3903488 Bytes  2013-07-23 07:14:03
VBASE005.VDF : 7.11.98.186  6822912 Bytes  2013-08-29 07:14:03
VBASE006.VDF : 7.11.103.230  2293248 Bytes  2013-09-24 07:14:03
VBASE007.VDF : 7.11.116.38  5485568 Bytes  2013-11-28 07:14:03
VBASE008.VDF : 7.11.126.50  3615744 Bytes  2014-01-22 07:14:03
VBASE009.VDF : 7.11.128.174  2030080 Bytes  2014-02-03 07:14:03
VBASE010.VDF : 7.11.128.175     2048 Bytes  2014-02-03 07:14:03
VBASE011.VDF : 7.11.128.176     2048 Bytes  2014-02-03 07:14:03
VBASE012.VDF : 7.11.128.177     2048 Bytes  2014-02-03 07:14:03
VBASE013.VDF : 7.11.128.178     2048 Bytes  2014-02-03 07:14:03
VBASE014.VDF : 7.11.129.9    211456 Bytes  2014-02-04 07:14:03
VBASE015.VDF : 7.11.129.163   215040 Bytes  2014-02-06 07:14:03
VBASE016.VDF : 7.11.130.21   220672 Bytes  2014-02-08 07:14:03
VBASE017.VDF : 7.11.130.99   230400 Bytes  2014-02-10 07:14:03
VBASE018.VDF : 7.11.130.193   195072 Bytes  2014-02-11 07:14:03
VBASE019.VDF : 7.11.131.53   285184 Bytes  2014-02-13 07:14:03
VBASE020.VDF : 7.11.131.125   154624 Bytes  2014-02-14 07:14:03
VBASE021.VDF : 7.11.131.201   194560 Bytes  2014-02-15 07:14:03
VBASE022.VDF : 7.11.132.11   233472 Bytes  2014-02-17 07:14:03
VBASE023.VDF : 7.11.132.80   415232 Bytes  2014-02-18 07:14:03
VBASE024.VDF : 7.11.132.205   185344 Bytes  2014-02-20 07:14:03
VBASE025.VDF : 7.11.133.33   291328 Bytes  2014-02-22 07:14:03
VBASE026.VDF : 7.11.133.81   134144 Bytes  2014-02-23 07:14:03
VBASE027.VDF : 7.11.133.82     2048 Bytes  2014-02-23 07:14:03
VBASE028.VDF : 7.11.133.83     2048 Bytes  2014-02-23 07:14:03
VBASE029.VDF : 7.11.133.84     2048 Bytes  2014-02-23 07:14:03
VBASE030.VDF : 7.11.133.85     2048 Bytes  2014-02-23 07:14:03
VBASE031.VDF : 7.11.133.132   221184 Bytes  2014-02-25 07:14:03
引擎版本         : 8.2.14.12
AEVDF.DLL    : 8.1.3.4       102774 Bytes  2014-02-25 07:13:58
AESCRIPT.DLL : 8.1.4.190     516478 Bytes  2014-02-25 07:13:58
AESCN.DLL    : 8.1.10.6      131447 Bytes  2014-02-25 07:13:58
AESBX.DLL    : 8.2.20.6     1331575 Bytes  2014-02-25 07:13:58
AERDL.DLL    : 8.2.0.138     704888 Bytes  2014-02-25 07:13:58
AEPACK.DLL   : 8.4.0.0       774520 Bytes  2014-02-25 07:13:58
AEOFFICE.DLL : 8.1.2.82      205181 Bytes  2014-02-25 07:13:58
AEHEUR.DLL   : 8.1.4.918    6484346 Bytes  2014-02-25 07:13:58
AEHELP.DLL   : 8.1.27.10     266618 Bytes  2014-02-25 07:13:58
AEGEN.DLL    : 8.1.7.22      446839 Bytes  2014-02-25 07:13:58
AEEXP.DLL    : 8.4.1.204     434552 Bytes  2014-02-25 07:13:58
AEEMU.DLL    : 8.1.3.2       393587 Bytes  2014-02-25 07:13:58
AECORE.DLL   : 8.1.35.0      229753 Bytes  2014-02-25 07:13:58
AEBB.DLL     : 8.1.1.4        53619 Bytes  2014-02-25 07:13:58
AVWINLL.DLL  : 14.0.3.252     23608 Bytes  2014-02-25 07:14:00
AVPREF.DLL   : 14.0.3.252     48696 Bytes  2014-02-25 07:13:59
AVREP.DLL    : 14.0.3.252    175672 Bytes  2014-02-25 07:13:59
AVARKT.DLL   : 14.0.3.336    256080 Bytes  2014-02-25 07:13:59
AVEVTLOG.DLL : 14.0.3.336    165968 Bytes  2014-02-25 07:13:59
SQLITE3.DLL  : 3.7.0.1       394808 Bytes  2014-02-25 07:14:02
AVSMTP.DLL   : 14.0.3.252     60472 Bytes  2014-02-25 07:13:59
NETNT.DLL    : 14.0.3.252     13368 Bytes  2014-02-25 07:14:01
RCIMAGE.DLL  : 14.0.3.260   4980792 Bytes  2014-02-25 07:14:02
RCTEXT.DLL   : 14.0.3.282     65592 Bytes  2014-02-25 07:14:02

扫描的配置设置：
作业名称...........: ShlExt
配置文件...........: C:\Users\ADMINI~1\AppData\Local\Temp\b577deb0.avp
报告.............: 默认
主操作............: 交互式
辅助操作...........: 忽略
扫描主启动扇区........: 打开
扫描启动扇区.........: 打开
启动扇区...........: C:,
进程扫描...........: 关闭
扫描注册表..........: 关闭
搜索 Rootkit.....: 关闭
系统文件完整性检查......: 关闭
扫描所有文件.........: 智能文件选择
扫描存档...........: 打开
限制递归深度.........: 20
智能扩展...........: 打开
宏启发式...........: 打开
文件启发式..........: 中
偏离风险类别.........: +APPL,+GAME,+JOKE,+PCK,+SPR,

扫描开始时间： 2015年7月25日  02:03

正在启动文件扫描：

开始在“C:\Users\Administrator\Desktop\ryunbo_16_2571.rar”中扫描


扫描结束时间： 2015年7月25日  02:03
已用时间: 00:00 分钟

扫描完毕.

      0 已扫描目录
      3 已扫描文件
      0 发现病毒和/或恶意程序
      0 文件被划定为可疑
      0 个文件已删除
      0 病毒和恶意程序已修复
      0 文件已移到隔离区
      0 文件已重命名
      0 无法扫描的文件
      3 不关心的文件
      1 存档已扫描
      0 警告
      0 说明

xifanwoai

文件名: bo_@rgybn@_51479.exe
威胁名称: Trojan.Gen.2完整路径: c:\bo_@rgybn@_51479.exe

____________________________

____________________________


在电脑上的创建时间 
2015/7/25 ( 7:34:34 )

上次使用时间 
2015/7/25 ( 7:34:34 )

启动项目 
否

已启动 
否

威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


bo_@rgybn@_51479.exe 威胁名称: Trojan.Gen.2
定位


未知
诺顿社区中使用了此文件的用户数 未知。

未知
此文件版本当前 未知。

高
此文件具有高风险。


____________________________


http://niubishandan.com/bo_@rgybn@_51479.exe
已下载文件 bo_@rgybn@_51479.exe 威胁名称: Trojan.Gen.2
从 niubishandan.com
来源: 外部介质


____________________________

文件操作

文件: c:\ bo_@rgybn@_51479.exe 已阻止
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
文件名: ryunbo_16_2571.exe
威胁名称: SONAR.Dropper完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2015/7/25 ( 7:34:26 )

上次使用时间 
2015/7/25 ( 7:34:26 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


ryunbo_16_2571.exe 威胁名称: SONAR.Dropper
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
ryunbo_16_2571.exe

____________________________

文件操作

文件: c:\users\三\appdata\local\temp\hz$d.476.662\hz$d.476.663\ ryunbo_16_2571.exe 威胁已删除
____________________________

网络操作

事件: 网络活动 (执行者 c:\users\三\appdata\local\temp\hz$d.476.662\hz$d.476.663\ryunbo_16_2571.exe, PID:13124) 未采取操作
事件: 网络通信上检测到 Symantec IDS 特征 (执行者 c:\users\三\appdata\local\temp\hz$d.476.662\hz$d.476.663\ryunbo_16_2571.exe, PID:13124) 未采取操作
事件: 已触发自动防护 (执行者 c:\users\三\appdata\local\temp\hz$d.476.662\hz$d.476.663\ryunbo_16_2571.exe, PID:13124) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\三\appdata\local\temp\hz$d.476.662\hz$d.476.663\ryunbo_16_2571.exe, PID:13184) 未采取操作
事件: 进程启动: c:\users\三\appdata\local\temp\hz$d.476.662\hz$d.476.663\ ryunbo_16_2571.exe, PID:13184 (执行者 c:\users\三\appdata\local\temp\hz$d.476.662\hz$d.476.663\ryunbo_16_2571.exe, PID:13184) 未采取操作
事件: 进程启动 (执行者 c:\users\三\appdata\local\temp\hz$d.476.662\hz$d.476.663\ryunbo_16_2571.exe, PID:13124) 未采取操作
事件: PE 文件创建: c:\ bo_@rgybn@_51479.exe (执行者 c:\users\三\appdata\local\temp\hz$d.476.662\hz$d.476.663\ryunbo_16_2571.exe, PID:13124) 未采取操作
事件: 进程启动: c:\users\三\appdata\local\temp\hz$d.476.662\hz$d.476.663\ ryunbo_16_2571.exe, PID:13124 (执行者 c:\users\三\appdata\local\temp\hz$d.476.662\hz$d.476.663\ryunbo_16_2571.exe, PID:13124) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

jayavira

to kl

手中的红蜻蜓

360