Detection ratio: 5 / 55 845t43f.exe

墨家小子

SHA256:        74a56c5bd7c328c152a26c0102e7501a0d9b385ba80d62297a11e78fd6918b7f
File name:        845t43f.exe
Detection ratio:        5 / 55
Analysis date:        2015-12-04 12:36:01 UTC ( 1 hour, 10 minutes ago )
https://www.virustotal.com/en/fi ... fd6918b7f/analysis/



2015/12/4 21:46:32,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AAAA\Desktop\1111\845t43f.exe" )

2015/12/4 21:46:35,C:\Users\AAAA\Desktop\1111\845t43f.exe,53,Allowed ;执行应用程序 (C:\Users\AAAA\Desktop\1111\845t43f.exe)

2015/12/4 21:46:38,C:\Users\AAAA\Desktop\1111\845t43f.exe,50,Allowed ;使用 DNS 解析服务访问网络
2015/12/4 21:46:40,C:\Users\AAAA\Desktop\1111\845t43f.exe,48,Allowed ;出站网络访问

2015/12/4 21:46:56,C:\Users\AAAA\Desktop\1111\845t43f.exe,40,Blocked ;以修改权限打开进程或线程 (explorer.exe(pid=3948))

275751198

类型：
HEUR/QVM07.1.Malware.Gen

描述：
木马通常利用系统的漏洞，绕过系统防御，达到：盗取账号、窃取资料、篡改文件、破坏数据的目的。
经过360安全中心检验，此文件是木马，建议您立即处理。

扫描引擎：
360云查杀引擎

文件指纹(MD5)：
048b5140b6fe2a84d69859667919d860

yzt1004

EnZhSTReLniKoVa

行为描述：在其他进程中申请内存
附加信息：%ProgramFiles%\845t43f.exe
行为描述：创建进程
附加信息：%ProgramFiles%\845t43f.exe
行为描述：下载文件
附加信息：221.132.35.56/23.113.113.105/78.47.66.169/
行为描述：设置远程线程上下文
附加信息：%ProgramFiles%\845t43f.exe
行为描述：IE 代{过}{滤}理服务器设置
附加信息：关闭IE代{过}{滤}理服务

HKEY_CURRENT_USER\\Software\Local AppWizard-Generated Applications
HKEY_CURRENT_USER\\Software\Local AppWizard-Generated Applications\845t43f
HKEY_CURRENT_USER\\Software\Local AppWizard-Generated Applications\845t43f\...

网络操作
[HTTP Request]POST 221.132.35.56/
[HTTP Request]POST 23.113.113.105/
[HTTP Request]POST 78.47.66.169/
[Open URL]221.132.35.56
[Open URL]23.113.113.105
[Open URL]78.47.66.169

火眼点评
      启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程;IE 代{过}{滤}理服务器设置;设置远程线程上下文;下载文件;创建进程;在其他进程中申请内存
危险行为监控
行为描述：启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程
附加信息：%ProgramFiles%\845t43f.exe

IntelVT

BitDefender
扫描

双击

为你心碎

275751198 发表于 2015-12-4 21:51
类型：
HEUR/QVM07.1.Malware.Gen

360对付恶意软件还很历害的。

XywCloud

SUD to BAV

275751198

为你心碎 发表于 2015-12-4 22:02
360对付恶意软件还很历害的。

这只是360的报毒名而已，什么木马病毒都报恶意软件的

aboringman

AVG：

扫描：miss；

双击：实机双击（不入沙），还没一会儿，IDP闪电击杀。

"";"IDP.Program.D1B0A5C0, C:\Users\Killer\Desktop\845t43f.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2015/12/4, 22:37:29"
"";", C:\Users\Killer\Desktop\845t43f.exe";"Object was blocked";"Process";"2015/12/4, 22:37:29"
"";", C:\Windows\System32\sdbinst.exe";"Object was blocked";"Process";"2015/12/4, 22:37:29"
"";", C:\Windows\System32\sdbinst.exe";"Object was blocked";"Process";"2015/12/4, 22:37:29"
"";", C:\Users\Killer\AppData\Local\iEFGbL3n\cOzZJ4kg.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2015/12/4, 22:37:29"
"";", C:\Users\Killer\AppData\LocalLow\wqgFGXBR.bat";"Deleted, Moved to Virus Vault";"File or Directory";"2015/12/4, 22:37:29"
"";", C:\Users\Killer\Desktop\845t43f.exe";"Object was blocked";"Process";"2015/12/4, 22:37:29"
"";", HKEY_USERS\S-1-5-21-1910074467-3606790842-1030588025-1001\SOFTWARE\LOCAL APPWIZARD-GENERATED APPLICATIONS";"Deleted, Moved to Virus Vault";"Registry key";"2015/12/4, 22:37:29"

samlin01

红伞kill