Detection ratio: 2 / 55 键盘记录、自启动……狠人

墨家小子

SHA256:        16ebc150998d18a2f00ba92ff7704d8e3615f6cddf8a48921b678439189a1bd3
File name:        crypt.exe
Detection ratio:        2 / 55
Analysis date:        2015-11-30 14:40:20 UTC ( 0 minutes ago )
https://www.virustotal.com/en/fi ... nalysis/1448894420/



2015/11/30 22:41:48,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AAAAA\Desktop

\11\crypt.exe" )

2015/11/30 22:42:14,C:\Users\AAAAA\Desktop\11\crypt.exe,53,Allowed ;执行应用程序 ("C:\Users

\AAAAA\Desktop\11\crypt.exe")

2015/11/30 22:42:30,C:\Users\AAAAA\Desktop\11\crypt.exe,47,Allowed ;创建交换数据流 (C:

\ProgramData\412540\client.exe:Zone.Identifier)

2015/11/30 22:42:31,C:\Users\AAAAA\Desktop\11\crypt.exe,11,Blocked ;记录键盘输入
2015/11/30 22:42:33,C:\Users\AAAAA\Desktop\11\crypt.exe,50,Allowed ;使用 DNS 解析服务访问网络
2015/11/30 22:42:34,C:\Users\AAAAA\Desktop\11\crypt.exe,11,Blocked ;记录键盘输入
2015/11/30 22:42:37,C:\Users\AAAAA\Desktop\11\crypt.exe,48,Allowed ;出站网络访问
2015/11/30 22:42:39,C:\Users\AAAAA\Desktop\11\crypt.exe,40,Blocked ;以修改权限打开进程或线程

(360chrome.exe(pid=5332))

2015/11/30 22:42:41,C:\Users\AAAAA\Desktop\11\crypt.exe,26,Blocked ;修改受保护的注册表键 (HKCU

\Software\Microsoft\Windows NT\CurrentVersion\Winlogon,shell)

2015/11/30 22:42:42,C:\Users\AAAAA\Desktop\11\crypt.exe,57,Blocked ;正在以只读方式打开受保护的进

程 (explorer.exe(pid=644))

2015/11/30 22:42:46,C:\Users\AAAAA\Desktop\11\crypt.exe,26,Blocked ;修改受保护的注册表键 (HKCU

\Software\Microsoft\Windows NT\CurrentVersion\Winlogon,shell)
2015/11/30 22:42:51,C:\Users\AAAAA\Desktop\11\crypt.exe,26,Terminated ;修改受保护的注册表键

(HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon,shell)

haoge250

kis miss
双击后移至低限制组，1分钟后杀了，连带回滚了。






回滚好像不彻底，文件夹没被删除，其中里面有个0字节的空白文件。

saga3721

文件 ID         文件名         大小(字节)         结果
28665732         crypt.rar         312.32 KB         OK

以下位置提供了存档中包含的文件及其结果的列表:
文件 ID         文件名         大小(字节)         结果
28665733         crypt.exe         501.89 KB         UNDER ANALYSIS

yzt1004

Emsisoft





我开始怀疑，emsisoft 所说的“偷偷安装”，实际上指的是这个？

创建交换数据流 (C:\ProgramData\412540\client.exe:Zone.Identifier)

我暂时没兴趣找国产流氓测试

ELOHIM

反病毒软件	结果	病毒库日期
360（Qihoo 360）	HEUR/QVM03.0.Malware.Gen	2015-11-30
IKARUS		2015-11-30
火绒（Huorong）		2015-11-30
腾讯（Tencent）		2015-11-30
Avast		2015-11-30
WebShell专杀		2015-11-30
小红伞（Avira）		2015-11-30
Sophos		2015-11-30
瑞星（Rising）		2015-11-30
趋势（TrendMicro）		2015-11-30
Kaspersky		2015-11-30
熊猫（Panda）		2015-11-30
XcodeGhost专杀		2015-11-30
安天（Antiy）		2015-11-30
大蜘蛛（Dr.Web）		2015-11-30
AVG		2015-11-30
百度（Baidu）		2015-11-30
GDATA		2015-11-30
微软（MSE）		2015-11-30
金山（Kingsoft）		2015-11-30
ClamAV		2015-11-30

aboringman

AVG：

扫描：miss；

双击：入沙，等了一会IDP击杀之。

"";"Unknown, C:\Users\Killer\Desktop\crypt.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2015/11/30, 23:26:11"
"";", C:\Users\Killer\Desktop\crypt.exe";"Object was blocked";"Process";"2015/11/30, 23:26:11"
"";", D:\sandboxie\SandboxieCrypto.exe";"Object was blocked";"Process";"2015/11/30, 23:26:11"
"";", C:\Sandbox\Killer\DefaultBox\user\all\984091\client.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2015/11/30, 23:26:11"
"";", C:\Users\Killer\Desktop\crypt.exe";"Object was blocked";"Process";"2015/11/30, 23:26:11"
"";", HKEY_USERS\SANDBOX_KILLER_DEFAULTBOX\USER\CURRENT\SOFTWARE\POLICIES";"Deleted, Moved to Virus Vault";"Registry key";"2015/11/30, 23:26:11"
"";", HKEY_USERS\SANDBOX_KILLER_DEFAULTBOX\USER\CURRENT\SOFTWARE\POLICIES\MICROSOFT";"Deleted";"Registry key";"2015/11/30, 23:26:11"

ELOHIM

aboringman 发表于 2015-11-30 23:28
AVG：

扫描：miss；

AVG小伙挺猛

aboringman

ELOHIM 发表于 2015-11-30 23:29
AVG小伙挺猛

AVG确实很猛，哈哈

EnZhSTReLniKoVa

AVA 25.4591
GD 25.5952

*** 进程 ***

进程: 9812
文件名: crypt.exe
路径: c:\users\natsukihanae\desktop\crypt.exe

发行商：: 未知发行商
创建日期: 11/30/15 15:53:21
修改日期: 11/30/15 14:40:03

启动进程：: crypt.exe
发行商：: 未知发行商


*** 操作 ***

另一程序已打开此文件，进程无法继续。
一个未知进程访问了。
程序已创建或已操作可执行文件。
程序进行了自我复制。
可执行文件被保存在一个可疑位置。


*** 隔离区 ***

下列文件被转入隔离区：
C:\Users\NatsukiHanae\Desktop\crypt.exe
c:\programdata\455124\client.exe
c:\programdata\effa3afa0d1d1b3694c3f4a149ad06ad5b5a3b88
c:\users\natsukihanae\appdata\local\microsoft\clr_v2.0_32\usagelogs\crypt.exe.log
c:\users\natsukihanae\desktop\crypt.exe

下列注册表项被删除：


YGLhcggrJygnKCYGLScoJygmBi4nanKiJiYGp0InJ3RyYmJwKycnJycmBrli4dKQLicnJiYnB6xygnKCYmLALycnJycmBt1ycmJicnLwLCcnJycmBocqJycnJyYGpysbpzVmKycbpzVmKycmBucoJwloKScHAA
规则版本： 5.0.71
OS: Windows 10.0 Service Pack 0.0 Build: 10586 - Workstation 64bit OS
DLL版本： 55982

"C:\Users\NatsukiHanae\Desktop\crypt.exe"
MD5: 365C7943DC2AAB5777FBC8A127A5187D
"C:\Users\NatsukiHanae\Desktop\crypt.exe"
MD5: 365C7943DC2AAB5777FBC8A127A5187D

Hengyu梁

修改函数入口点属性为可写;启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程;远程注入其他进程;设置远程线程上下文;添加窗口消息钩子;设置文件属性;创建进程;创建互斥体;添加开机自启动项;在其他进程中申请内存;检测是否存在指定注册表键
..   

危险行为监控


行为描述：远程注入其他进程

附加信息：
QQ.exe

alg.exe

ctfmon.exe

default.exe

dnf.exe

explorer.exe

ksafetray.exe

services.exe

spoolsv.exe

svchost.exe

wmiprvse.exe

zhudongfangyu.exe

.


行为描述：启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程

附加信息：
%ProgramFiles%\crypt.exe

.


行为描述：修改函数入口点属性为可写

附加信息：
ntdll.dll!ZwQuerySystemInformation

.

..

其他行为监控


行为描述：检测是否存在指定注册表键

附加信息：
HKEY_LOCAL_MACHINE\Software\Microsoft\OleAut

.


行为描述：在其他进程中申请内存

附加信息：
%FEKERNEL%\default.exe

%ProgramFiles%\360Safe\zhudongfangyu.exe

%ProgramFiles%\Tencent\QQ\QQ.exe

%ProgramFiles%\Tencent\地下城与勇士\dnf.exe

%ProgramFiles%\crypt.exe

%ProgramFiles%\ksafe\ksafetray.exe

%windir%\explorer.exe

%system%\alg.exe

%system%\ctfmon.exe

%system%\services.exe

%system%\spoolsv.exe

%system%\svchost.exe

%system%\wbem\wmiprvse.exe

.


行为描述：添加开机自启动项

附加信息：
[shell] - explorer.exe,"\967288\client.exe"

.


行为描述：创建互斥体

附加信息：
"FireFX1040"

"FireFX1080"

"FireFX1124"

"FireFX1220"

"FireFX1388"

"FireFX1664"

"FireFX1688"

"FireFX1816"

"FireFX1980"

"FireFX228"

"FireFX232"

"FireFX544"

"FireFX676"

"FireFX844"

"FireFX912"

"GdiplusFontCacheFileV1"

"RPCSS_REGEVENT:{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}"

"WMIPRVSE.EXE"

.


行为描述：创建进程

附加信息：
%ProgramFiles%\crypt.exe

%system%\wbem\wmiprvse.exe

.


行为描述：设置文件属性

附加信息：
C:\effa3afa0d1d1b3694c3f4a149ad06ad5b5a3b88 >> SYSTEM

.


行为描述：添加窗口消息钩子

附加信息：
设置全局消息钩子:KEYBOARD (Monitor Messages from Keyboard)

.


行为描述：设置远程线程上下文

附加信息：
%ProgramFiles%\crypt.exe

.

..

文件操作监控


操作 文件MD5 文件大小 文件路径

新增 365c7943dc2aab5777fbc8a127a5187d 513936 c:\967288\\client.exe
新增 8c47852b13124cea0498b62a22be143b 6 C:\\effa3afa0d1d1b3694c3f4a149ad06...
新增 365c7943dc2aab5777fbc8a127a5187d 513936 %temp%\\5204
新增 a2a6bd92dd16de684d1622e907ddddfd 20456 %USERPROFILE%\Local Settings\Appli...
新增 无 0 c:\967388\967291\\1
..

进程操作监控


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无


创建进程：无

启动参数：无

..

•新增
•删除
•修改
注册表监控

HKEY_CURRENT_USER\\Software

[Mo1wdBC57fpcZzjBnrcvjA==] = [aTagLoewVVaFaiF9QH/NIw==]

[PRC] = [1108]

[pth] = [\967288\client.exe]

[mtx] = [Global\effa3afa0d1d1b3694c3f4a149ad06ad5b5a3b88]

[O3etlPG5DwUo0Jz80env0A==] = [TN9FMTCdQwdlrW0NRNyNdw==]


HKEY_CURRENT_USER\\Software\Microsoft\GDIPlus

[FontCachePath] = [%USERPROFILE%\Local Settings\Application Data]


HKEY_CURRENT_USER\\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

[Shell] = [explorer.exe,"\967288\client.exe"]