收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 木马
123下一页
返回列表 发新帖
查看: 4698|回复: 22
收起左侧

[病毒样本] 木马

[复制链接]
vm001
发表于 2015-8-15 22:17:07 | 显示全部楼层 |阅读模式




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

学雷锋做人
头像被屏蔽
发表于 2015-8-15 22:17:45 | 显示全部楼层
本帖最后由 学雷锋做人 于 2015-8-15 22:34 编辑

默认文件是隐藏的,可以在文件夹选项里选择显示隐藏文件,我这里用FD进行了属性净化

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

230f4
发表于 2015-8-15 22:21:05 来自手机 | 显示全部楼层
sofa
回复

举报

尘梦幽然
发表于 2015-8-15 23:06:03 | 显示全部楼层

[mw_shl_code=css,true]文件名: crossfire.exe
威胁名称: SONAR.Heuristic.120完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2015/8/15 ( 22:59:23 )

上次使用时间 
2015/8/15 ( 22:59:23 )

启动项目 


已启动 


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


crossfire.exe 威胁名称: SONAR.Heuristic.120
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
crossfire.exe

____________________________

文件操作

文件: c:\users\simplr\appdata\roaming\1b27b641fd75d209df5173caeccce300\ crossfire.exe 威胁已删除
文件: c:\users\simplr\desktop\温馨数码dv自拍照\ 01233.gif 威胁已删除
文件: c:\users\simplr\appdata\roaming\1b27b641fd75d209df5173caeccce300\ release.dll 威胁已删除
文件: c:\users\simplr\appdata\roaming\microsoft\windows\start menu\programs\startup\ 1b27b641fd75d209df5173caeccce300.lnk 威胁已删除
目录: c:\users\simplr\appdata\roaming\ 1b27b641fd75d209df5173caeccce300 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-3761103358-168185205-1455679834-1000_CLASSES\Local Settings\MuiCache\4\ AAF68885->LanguageList:... 已修复
注册表更改: HKEY_USERS\S-1-5-21-3761103358-168185205-1455679834-1000\Software\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Common Client\ ccIPC 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-3761103358-168185205-1455679834-1000\Software\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Common Client\ccIPC\ Endpoints 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-3761103358-168185205-1455679834-1000\Software\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Common Client\ccIPC\ Endpoints->{25D5DC49-86B4-46DD-8974-54F0E45F1FFB} 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-3761103358-168185205-1455679834-1000\Software\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Common Client\ccIPC\ Endpoints 已修复
注册表更改: HKEY_USERS\S-1-5-21-3761103358-168185205-1455679834-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\ Cached->{7AD84985-87B4-4A16-BE58-8B72A5B390F7} {000214E4-0000-0000-C000-000000000046} 0xFFFF 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-3761103358-168185205-1455679834-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\ Cached->{FFE2A43C-56B9-4BF5-9A79-CC6D4285608A} {000214E4-0000-0000-C000-000000000046} 0xFFFF 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-3761103358-168185205-1455679834-1000\Software\Microsoft\ Direct3D 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-3761103358-168185205-1455679834-1000\Software\Microsoft\Direct3D\ MostRecentApplication 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-3761103358-168185205-1455679834-1000\Software\Microsoft\Direct3D\ MostRecentApplication->Name 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-3761103358-168185205-1455679834-1000_CLASSES\Local Settings\MuiCache\4\AAF68885->@C:\Program Files\Windows Photo Viewer\ photoviewer.dll,-3043 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-3761103358-168185205-1455679834-1000_CLASSES\Local Settings\MuiCache\4\AAF68885->@C:\Windows\system32\ stobject.dll,-417 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-3761103358-168185205-1455679834-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\ Cached->{FFE2A43C-56B9-4BF5-9A79-CC6D4285608A} {00000122-0000-0000-C000-000000000046} 0xFFFF 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-3761103358-168185205-1455679834-1000\Software\Microsoft\Direct3D\ MostRecentApplication->Name:DllHost.exe 不需要操作
____________________________

网络操作

事件: 网络活动 (执行者 c:\users\simplr\appdata\roaming\1b27b641fd75d209df5173caeccce300\crossfire.exe, PID:128) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\simplr\appdata\roaming\1b27b641fd75d209df5173caeccce300\crossfire.exe, PID:128) 未采取操作
(执行者 c:\users\simplr\appdata\roaming\1b27b641fd75d209df5173caeccce300\crossfire.exe, PID:128) 未采取操作
事件: 进程启动: c:\users\simplr\appdata\roaming\1b27b641fd75d209df5173caeccce300\ crossfire.exe, PID:128 (执行者 c:\users\simplr\appdata\roaming\1b27b641fd75d209df5173caeccce300\crossfire.exe, PID:128) 未采取操作
事件: 进程启动 (执行者 c:\users\simplr\desktop\温馨数码dv自拍照\01233.gif, PID:324) 未采取操作
事件: PE 文件创建: c:\users\simplr\appdata\roaming\1b27b641fd75d209df5173caeccce300\ crossfire.exe (执行者 c:\users\simplr\desktop\温馨数码dv自拍照\01233.gif, PID:324) 未采取操作
(执行者 c:\users\simplr\desktop\温馨数码dv自拍照\01233.gif, PID:324) 未采取操作
事件: 进程启动: c:\users\simplr\appdata\roaming\1b27b641fd75d209df5173caeccce300\ crossfire.exe, PID:128 (执行者 c:\users\simplr\desktop\温馨数码dv自拍照\01233.gif, PID:324) 未采取操作
事件: 进程启动: c:\users\simplr\desktop\温馨数码dv自拍照\ 01233.gif, PID:324 (执行者 c:\users\simplr\desktop\温馨数码dv自拍照\01233.gif, PID:324) 未采取操作
____________________________

可疑操作

(执行者 c:\users\simplr\desktop\温馨数码dv自拍照\01233.gif, PID:324) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用[/mw_shl_code]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

haoge250
发表于 2015-8-15 23:12:08 | 显示全部楼层
kis miss all
回复

举报

steven_lzs
发表于 2015-8-15 23:12:25 | 显示全部楼层
eav miss
回复

举报

开开心心卖手机
发表于 2015-8-15 23:30:20 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

XywCloud
发表于 2015-8-15 23:37:36 | 显示全部楼层
SUD to BAV
回复

举报

尘梦幽然
发表于 2015-8-15 23:43:48 | 显示全部楼层

趋势科技国际10.0

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

My↘じ★ve
发表于 2015-8-16 00:04:32 | 显示全部楼层
COMODO MISS
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-22 01:13 , Processed in 0.148949 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表