CRDF.Tool.CardRecon-Generic.3453502897

asdx145266

g data重启删除

cwl12315

闲着无聊又用费尔试了试，动态防御级别设置高，运行样本，动态防御报植入型木马。放行，点击样本的start按钮，又是扫了5、6分钟的样子，费尔动态防御又报植入型木马。

产品名称: Card Recon
公司名称: Ground Labs
数字签名: 无
级别评分: 0.8800.1900000200000000

部分行为如下:

CreateRemoteThread to System(PID/TID: 4076)

CreateFile: C:\CCAV\b\Device\HarddiskVolume1\bootmgr

CreateFile: C:\CCAV\b\Device\HarddiskVolume1\BOOTSECT.BAK

CreateFile: C:\CCAV\b\Device\HarddiskVolume1\$Recycle.Bin\S-1-5-21-3910364187-138092789-1995901743-1000\$I19ZY7N.zip

File further operations have been omitted......

终于见到创建文件的行为了，前5分钟观察都是在FindFile，一会继续放行看动态防御还会不会报。


------------------------------------------------------------------------
好吧，虽然放行之后过了一会还是报了，但动作都是一样的，创建了这几个文件，从沙盘里提取出来bootmgr、BOOTSECT.BAK和系统文件做了下对比，结果hash值一模一样Orz。剩下的zip显示路径在回收站里，对比了下大小，应该就是我回收站里的几个文件。
算了，感觉上就像误报，找不出危险行为。。。
另，这个工具是怎么在一个纯净的win7虚拟机里扫出来1个visa卡号和5个American Express卡号的