楼主: AnonymousM
收起左侧

[病毒样本] Newygx012.exe

  [复制链接]
,就一个.
发表于 2015-8-28 18:43:28 | 显示全部楼层

我来引用某人一些话————你错了 卡巴斯基 疯狂模式拦截率那么高 诺顿不行 误杀高 卡巴斯基那么完美 卡巴斯基那么卡巴斯基  卡巴斯基是卡饭第一杀软软 重来不会哭  我今天也来卡巴斯基一回。 哈哈哈哈
神迹般存在
发表于 2015-8-28 18:45:23 | 显示全部楼层
KIS 2015 missed.
Have sent to Kaspersky Lab.

KSN:


Analysis:
[mw_shl_code=css,true]基本信息
文件名称:       
Newygx012.exe
MD5:        c2d57d52ede90120bed6b8ad02e09523
文件类型:        Autoit
上传时间:        2015-08-28 18:42:58
出品公司:        LaoMaoTao.net
版本:        8.14.5.30---8.14.5.30
壳或编译器信息:        N/A
子文件信息:       
Url.dll /  64019c828c8d925d4e695845e1bc191b /  7z
fbinst.dll /  fccff3d5e754a1085fef98eb3e8692e3 /  EXE
reg.dll /  30ca3af3fb9db4e3b7ff857bd154aa56 /  EXE
cacls.dll /  221236080adab5e029e49183c6bae612 /  EXE
LMTset.au3.tbl /  521e64ab4dee031700e2bce59729038b /  Unknown
帮助.dat /  a5df459f06fba265b05e094683fe3529 /  Unknown
AutoItScript /  0164da7127fe531f1f386801bee60531 /  Unknown
关键行为
行为描述:        写权限映射文件
详情信息:       
CiceroSharedMemDefaultS-*
行为描述:        检测自身是否被调试
详情信息:       
N/A
行为描述:        隐藏指定窗口
详情信息:       
[Window,Class] = [#32770,#32770]
行为描述:        自删除
详情信息:       
C:\Documents and Settings\Administrator\Local Settings\%temp%\1440758885.956730.exe
行为描述:        按名称获取主机地址
详情信息:       
127.1
进程行为
行为描述:        隐藏窗口创建进程
详情信息:       
ImagePath = , CmdLine = c:\windows\system32\cmd.exe /c c:\docume~1\admini~1\locals~1\temp\fbinst.dll "c:\windows\996e.e\support.im_" output img/* %~nx
ImagePath = , CmdLine = c:\windows\system32\cmd.exe /c ping 127.1 -n 3&del /q "c:\documents and settings\administrator\local settings\%temp%\1440758885.693633.exe"
行为描述:        创建进程
详情信息:       
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fbinst.dll "C:\WINDOWS\996E.e\SUPPORT.IM_" output IMG/* %~nx
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /c ping 127.1 -n 3&del /q "C:\Documents and Settings\Administrator\Local Settings\%temp%\1440758885.662677.exe"
ImagePath = C:\WINDOWS\system32\ping.exe, CmdLine = ping 127.1 -n 3
行为描述:        创建新文件进程
详情信息:       
ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fbinst.dll, CmdLine = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fbinst.dll "C:\WINDOWS\996E.e\SUPPORT.IM_" output IMG/* %~nx
行为描述:        枚举进程
详情信息:       
N/A
文件行为
行为描述:        写权限映射文件
详情信息:       
CiceroSharedMemDefaultS-*
行为描述:        创建可执行文件
详情信息:       
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fbinst.dll
行为描述:        修改文件内容
详情信息:       
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut4.tmp---> Offset = 4096
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dvmwlxl---> Offset = 20480
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut5.tmp---> Offset = 49152
行为描述:        自删除
详情信息:       
C:\Documents and Settings\Administrator\Local Settings\%temp%\1440758885.956730.exe
行为描述:        查找文件
详情信息:       
FileName = C:\documents and settings
FileName = C:\Documents and Settings\administrator
FileName = C:\Documents and Settings\Administrator\local settings
FileName = C:\Documents and Settings\Administrator\Local Settings\temp
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\1440758885.765436.exe
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dvmwlxl
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\996E.e
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fbinst.dll
FileName = C:\WINDOWS
FileName = C:\WINDOWS\system32
FileName = C:\WINDOWS\system32\cmd.exe
FileName = C:\DOCUME~1
FileName = C:\DOCUME~1\ADMINI~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1
网络行为
行为描述:        按名称获取主机地址
详情信息:       
127.1
注册表行为
行为描述:        删除注册表键值_删除启动项
详情信息:       
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\996E.e
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\996E.e
其他行为
行为描述:        检测自身是否被调试
详情信息:       
N/A
行为描述:        创建互斥体
详情信息:       
CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
SHIMLIB_LOG_MUTEX
行为描述:        隐藏指定窗口
详情信息:       
[Window,Class] = [#32770,#32770]
行为描述:        获取系统权限
详情信息:       
SE_LOAD_DRIVER_PRIVILEGE
行为描述:        获取TickCount值
详情信息:       
TickCount = 486250, SleepMilliseconds = 500.
TickCount = 486281, SleepMilliseconds = 500.
TickCount = 486296, SleepMilliseconds = 500.
TickCount = 486312, SleepMilliseconds = 500.
TickCount = 486328, SleepMilliseconds = 500.
TickCount = 486343, SleepMilliseconds = 500.
TickCount = 486359, SleepMilliseconds = 500.
TickCount = 486390, SleepMilliseconds = 500.
TickCount = 486421, SleepMilliseconds = 500.
TickCount = 486453, SleepMilliseconds = 500.
TickCount = 486484, SleepMilliseconds = 500.
TickCount = 486515, SleepMilliseconds = 500.
TickCount = 486546, SleepMilliseconds = 500.
TickCount = 486578, SleepMilliseconds = 500.
TickCount = 486609, SleepMilliseconds = 500.
行为描述:        枚举窗口
详情信息:       
N/A[/mw_shl_code]
运行截图

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
,就一个.
发表于 2015-8-28 18:49:33 | 显示全部楼层
MXCERILYF! 发表于 2015-8-28 17:41
连毒霸都能杀,我的卡巴斯基居然。。。

首先你要摆正心态 为什么毒霸能卡巴必须能?  没什么东西是绝对的,非要这样说,那为什么BD主防能防白加黑 卡巴就不行呢? 说明卡巴垃圾还是BD太强?  
AnonymousM
 楼主| 发表于 2015-8-28 18:52:07 | 显示全部楼层
aboringman 发表于 2015-8-28 18:24
过不了应用程序控制。。。。。。你试试关掉应用程序控制再试一次。。

关掉应用程序控制,那不是啥都拦不到了?
[mw_shl_code=css,true]28.08.2015 18.48.52        应用程序已添加至组受信任组        E:\Sandbox for Win8\***\Test\user\current\AppData\Local\Temp\fbinst.dll        应用程序: E:\Sandbox for Win8\***\Test\user\current\AppData\Local\Temp\fbinst.dll        应用程序路径: E:\Sandbox for Win8\***\Test\user\current\AppData\Local\Temp\fbinst.dll        时间:: 2015/8/28, 18:48
28.08.2015 18.48.36        任务已停止        应用程序控制        时间:: 2015/8/28, 18:48
[/mw_shl_code]

对了,向你请教一个问题
貌似我从来没见过卡巴有去回滚哪个操作啊?刚才突然想起来的
Yuri1st
发表于 2015-8-28 18:53:42 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
AnonymousM
 楼主| 发表于 2015-8-28 18:54:31 | 显示全部楼层
神迹般存在 发表于 2015-8-28 18:45
KIS 2015 missed.
Have sent to Kaspersky Lab.

感谢上报
话说那个日志应该是某个在线沙盘吧?看起来不像卡巴呢
AnonymousM
 楼主| 发表于 2015-8-28 18:55:32 | 显示全部楼层

感谢测试!VSE棒棒哒
AnonymousM
 楼主| 发表于 2015-8-28 18:57:33 | 显示全部楼层

这个是解压杀的还是双击的?
AnonymousM
 楼主| 发表于 2015-8-28 18:58:48 | 显示全部楼层
MXCERILYF! 发表于 2015-8-28 17:41
连毒霸都能杀,我的卡巴斯基居然。。。

感觉卡巴对国产流氓类的应该不太注重吧,毕竟这个也就是修改浏览器主页,释放快捷方式啥的
应该是个侧重点的问题
AnonymousM
 楼主| 发表于 2015-8-28 19:00:08 | 显示全部楼层
辽宁大连~~小海 发表于 2015-8-28 18:28
今天的样本为何都这样吓人,可是费尔为何今天这么猛!

唔?今天样本很猛?我去翻翻看,嘿嘿,,,
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 22:50 , Processed in 0.098809 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表