8.23精锐样本中的一个文件

显示全部楼层 · 发表于 2015-8-23 18:26:31

微光丶发表于 2015-8-23 18:24
貌似没什么破坏性啊- -

试试BD入不入这种“弹出一堆CMD窗口”的样本

显示全部楼层 · 发表于 2015-8-23 18:28:45

本帖最后由 XywCloud 于 2015-8-23 19:41 编辑

BAV Killed
P.S. IDA里看了下，这玩意用system函数执行cmd命令的时候，命令内容居然是strcat一个byte一个byte拼起来的...
修正下，前面我看到的一片又一片的strcat全都是那个BatToExe Converter的介绍内容...

显示全部楼层 · 发表于 2015-8-23 18:38:12

XywCloud 发表于 2015-8-23 18:28
BAV Killed
P.S. IDA里看了下，这玩意用system函数执行cmd命令的时候，命令内容居然是strcat一个byte一个b ...

不明嚼梨刚才仔细看了一下哈勃和火眼的分析难道是我在虚拟机运行没有发挥最大威力吗？

显示全部楼层 · 发表于 2015-8-23 19:03:57

费尔根本就不管，没什么危害吧

显示全部楼层 · 发表于 2015-8-23 21:23:31

够老的毒2010年的
File Info
Name Value
Size 106978
MD5 4c5f8e45ba3425db556095484eaa96b2
SHA1 dd5293787d465a60d7e80fab8c1d0ee9fdafc795
SHA256 558cab05da199cdb5415fe6ed67e2894b778f456d811c243a2597ed5415da649
Process Active
Keys Created
Keys Changed
Keys Deleted
Values Created
Values Changed
Values Deleted
Directories Created
Name Last Write Time Creation Time Last Access Time Attr
C:\Documents and Settings\User\Local Settings\Temp\afolder 2010.08.24 19:23:15.453 2010.08.24 19:23:15.453 2010.08.24 19:23:15.453 0x10
C:\Documents and Settings\User\Local Settings\Temp\ytmp 2010.08.24 19:23:15.578 2010.08.24 19:23:15.578 2010.08.24 19:23:15.578 0x12
Directories Changed
Directories Deleted
Files Created
Files Changed
Files Deleted
Directories Hidden
Files Hidden
Name Size Last Write Time Creation Time Last Access Time Attr
C:\Documents and Settings\User\Local Settings\Temp\ytmp\tmp12701.bat 532 2010.08.24 19:23:26.187 2010.08.24 19:23:26.187 2010.08.24 19:23:26.187 0x20
Drivers Loaded
Drivers Unloaded
Processes Created
Processes Terminated
Threads Created
Modules Loaded
Windows Api Calls
DNS Queries
HTTP Queries
Verdict
Auto Analysis Verdict
Suspicious+
Description
Suspicious Actions Detected
Hides files from user

显示全部楼层 · 发表于 2015-8-24 08:23:50

微光丶发表于 2015-8-23 18:24
貌似没什么破坏性啊- -

我看着怎么有点像蠕虫，根目录释放exe和autorun，就差写启动项了。

显示全部楼层 · 发表于 2015-8-24 10:40:06

39.exe双击诺顿miss，计算机被关闭，单独双击exe衍生物，SONAR杀！

文件名: infection.exe
威胁名称: SONAR.Heuristic.120完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间
2015-8-24 ( 10:20:56 )

上次使用时间
2015-8-24 ( 10:20:56 )

启动项目
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

infection.exe 威胁名称: SONAR.Heuristic.120
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

____________________________

文件操作

文件: f:\norton样本\临时收集\ infection.exe 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\infection.exe, PID:5612) 未采取操作
(执行者 f:\norton样本\临时收集\infection.exe, PID:5612) 未采取操作
事件: PE 文件创建: c:\ infection.exe (执行者 f:\norton样本\临时收集\infection.exe, PID:5612) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ infection.exe, PID:5612 (执行者 f:\norton样本\临时收集\infection.exe, PID:5612) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2015-8-25 10:45:02

[病毒样本] 8.23精锐样本中的一个文件

本帖子中包含更多资源

浏览过的版块