Detection ratio: 2 / 55

墨家小子

SHA256:        50591e59024ebca507471bea0fa3fbf18d71f939c97644f4fadb8a8b49d1da47
File name:        doc.exe
Detection ratio:        2 / 55
Analysis date:        2015-11-30 01:58:29 UTC ( 0 minutes ago )
https://www.virustotal.com/en/fi ... nalysis/1448848709/



2015/11/30 9:59:18,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\工头不高兴了\Desktop\111\doc.exe" )

2015/11/30 9:59:21,C:\Users\工头不高兴了\Desktop\111\doc.exe,53,Allowed ;执行应用程序 ("C:\Users\工头不高兴了\Desktop\111\doc.exe" )

2015/11/30 9:59:23,C:\Users\工头不高兴了\Desktop\111\doc.exe,47,Allowed ;创建交换数据流 (C:\Users\工头不高兴了\Desktop\111\doc.exe:Zone.Identifier)

2015/11/30 9:59:25,C:\Users\工头不高兴了\Desktop\111\doc.exe,53,Allowed ;执行应用程序 (C:\Users\工头不高兴了\AppData\Roaming\rqctm-a.exe)

2015/11/30 9:59:29,C:\Users\工头不高兴了\Desktop\111\doc.exe,53,Blocked ;执行应用程序 ("C:\windows\system32\cmd.exe" /c DEL C:\Users\工头不高兴了\Desktop\111\doc.exe)

2015/11/30 9:59:31,C:\Users\工头不高兴了\AppData\Roaming\rqctm-a.exe,53,Allowed ;执行应用程序 (C:\Users\工头不高兴了\AppData\Roaming\rqctm-a.exe)

2015/11/30 9:59:33,C:\Users\工头不高兴了\AppData\Roaming\rqctm-a.exe,47,Allowed ;创建交换数据流 (C:\Users\工头不高兴了\AppData\Roaming\rqctm-a.exe:Zone.Identifier)

2015/11/30 9:59:36,C:\Users\工头不高兴了\AppData\Roaming\rqctm-a.exe,53,Blocked ;执行应用程序 (bcdedit.exe /set {current} bootems off)
2015/11/30 9:59:38,C:\Users\工头不高兴了\AppData\Roaming\rqctm-a.exe,53,Blocked ;执行应用程序 (bcdedit.exe /set {current} advancedoptions off)
2015/11/30 9:59:40,C:\Users\工头不高兴了\AppData\Roaming\rqctm-a.exe,53,Blocked ;执行应用程序 (bcdedit.exe /set {current} optionsedit off)
2015/11/30 9:59:43,C:\Users\工头不高兴了\AppData\Roaming\rqctm-a.exe,53,Blocked ;执行应用程序 (bcdedit.exe /set {current} bootstatuspolicy IgnoreAllFailures)
2015/11/30 9:59:45,C:\Users\工头不高兴了\AppData\Roaming\rqctm-a.exe,53,Blocked ;执行应用程序 (bcdedit.exe /set {current} recoveryenabled off)

2015/11/30 9:59:49,C:\Users\工头不高兴了\AppData\Roaming\rqctm-a.exe,26,Blocked ;修改受保护的注册表键 (HKLM\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\System,EnableLinkedConnections)

2015/11/30 9:59:53,C:\Users\工头不高兴了\AppData\Roaming\rqctm-a.exe,53,Blocked ;执行应用程序 ("C:\Windows\System32\vssadmin.exe" delete shadows /all   /Quiet )

2015/11/30 9:59:55,C:\Users\工头不高兴了\AppData\Roaming\rqctm-a.exe,40,Blocked ;以修改权限打开进程或线程 (esif_assist.exe(pid=4160))

2015/11/30 9:59:57,C:\Users\工头不高兴了\AppData\Roaming\rqctm-a.exe,50,Blocked ;使用 DNS 解析服务访问网络

2015/11/30 10:00:00,C:\Users\工头不高兴了\AppData\Roaming\rqctm-a.exe,48,Blocked ;出站网络访问

wjy19800315

eset监控杀

wjy19800315

数字监控扫描全过

yzt1004

Emsisoft




不知道偷偷安装对应的是哪个动作，我觉得看到这一步选择隔离应该合理吧 ，后续动作应该会报

yzt1004

wjy19800315 发表于 2015-11-30 10:06
数字监控扫描全过

我觉得360应该测个双击，反正它有沙盘…………

wjy19800315

yzt1004 发表于 2015-11-30 10:34
我觉得360应该测个双击，反正它有沙盘…………

实机
而且是工作使用的主机
不敢尝试双击
一旦有事那就麻烦了
ps对数字那个沙盒不是很放心

pal家族

lz样本太新鲜了
30.11.2015 12.35.36;检测到的对象（文件）已删除。;D:\360安全浏览器下载\doc\doc.exe;D:\360安全浏览器下载\doc\doc.exe;UDS:DangerousObject.Multi.Generic;未知威胁;11/30/2015 12:35:36

几乎没有入库的

墨家小子

yzt1004 发表于 2015-11-30 10:34
我觉得360应该测个双击，反正它有沙盘…………

删除\360safe\deepscan\ave里的本地库
删除\360safe\deepscan\QVM的qvm引擎
关闭360的云安全计划，然后修改样本的md5就可以测试了
你来吧

EnZhSTReLniKoVa

hmpalert31报

Mitigation   CryptoGuard

Platform     10.0.10586/x64 06_3c
PID          6836
Application  C:\Windows\SysWOW64\svchost.exe
Description  Windows 服务主进程 10

Filename     C:\Windows\SysWOW64\svchost.exe

\??\C:\Users\NatsukiHanae\AppData\Local\Microsoft\Windows Mail\Stationery\GreenBubbles.jpg
\??\C:\Users\NatsukiHanae\AppData\Local\Microsoft\Windows Mail\Stationery\Blue_Gradient.jpg
\??\C:\Users\NatsukiHanae\AppData\Local\Microsoft\Windows Mail\Stationery\Bears.jpg

Code Injection
007C0000-007F2000  200KB C:\Windows\SysWOW64\explorer.exe [3816]
1  C:\Windows\SysWOW64\explorer.exe [3816]
2  C:\Users\NatsukiHanae\Desktop\F16B.tmp.exe [4636]

Process Trace
1  C:\Windows\SysWOW64\svchost.exe [6836]
-k netsvcs
2  C:\Windows\SysWOW64\explorer.exe [3816]
3  C:\Users\NatsukiHanae\Desktop\F16B.tmp.exe [4636]

以下是GD行为监控：
AVA 25.4586
GD 25.5951

*** 进程 ***

进程: 7984
文件名: doc.exe
路径: c:\users\natsukihanae\desktop\doc.exe

发行商：: 未知发行商
创建日期: 11/30/15 04:41:34
修改日期: 11/30/15 01:58:00

启动进程：: doc.exe
发行商：: 未知发行商


*** 操作 ***

程序已在内存中被修改。
程序已创建或已操作可执行文件。
程序进行了自我复制。
可执行文件被保存在一个可疑位置。


*** 隔离区 ***

下列文件被转入隔离区：
C:\Users\NatsukiHanae\Desktop\doc.exe
c:\users\natsukihanae\appdata\roaming\ylhcn-a.exe
c:\users\natsukihanae\desktop\doc.exe

下列注册表项被删除：


YGLRu6LQcnJycmJi4HJyLyf3YmKQKxa9KwnbcnJycmJiwCknJycnJgb8cnJycmJi8CwnJycnJgaHKicnJycmBocrJycnJyYGhy4nJycnJganKxl3NWYrJxl3NWYrJyYG5ygnCPcpJycnJyYGAA
规则版本： 5.0.71
OS: Windows 10.0 Service Pack 0.0 Build: 10586 - Workstation 64bit OS
DLL版本： 55982

"C:\Users\NatsukiHanae\Desktop\doc.exe"
MD5: 2E65464F7369451B15213CA48029F11E
"C:\Users\NatsukiHanae\Desktop\doc.exe"
MD5: 2E65464F7369451B15213CA48029F11E

墨家小子

君陌潇 发表于 2015-11-30 12:43
hmpalert31报

Mitigation   CryptoGuard

hmpalert31是啥玩意？？？多钱啊？