每日样本

显示全部楼层 · 发表于 2015-12-12 12:30:05

KIS KILL

显示全部楼层 · 发表于 2015-12-12 12:30:26

文件名: 840bea7f6da6bfcc6e24fcded6526ae4
威胁名称: Suspicious.Cloud.2.A完整路径: f:\norton样本\诺顿排除\840bea7f6da6bfcc6e24fcded6526ae4

____________________________

____________________________

在电脑上的创建时间
2015-12-12 ( 12:29:12 )

上次使用时间
2015-12-12 ( 12:30:09 )

启动项目
否

已启动
否

威胁类型: 启发式病毒。根据恶意软件启发式技术检测威胁。

____________________________

840bea7f6da6bfcc6e24fcded6526ae4 威胁名称: Suspicious.Cloud.2.A
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
winrar.exe

创建的文件:
840bea7f6da6bfcc6e24fcded6526ae4

____________________________

文件操作

受感染文件: f:\norton样本\诺顿排除\ 840bea7f6da6bfcc6e24fcded6526ae4 已删除
____________________________

文件指纹 - SHA:
12475c04194134d66f9ecb57928582b88eed2d16fc8e5d506bb4d49f98555fa0
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2015-12-12 12:32:14

显示全部楼层 · 发表于 2015-12-12 12:37:02

360改后缀报毒

显示全部楼层 · 发表于 2015-12-12 12:44:40

红伞TR/Crypt.Xpack.340159

显示全部楼层 · 发表于 2015-12-12 13:16:28

显示全部楼层 · 发表于 2015-12-12 13:41:33

Trend Micro：

扫描：miss；

双击：实机双击（不入沙），什么都没有发生（难道趋势管的太严，它不敢行动？？？）。

显示全部楼层 · 发表于 2015-12-12 13:54:14

真心为某些粉丝呕吐了

2015/12/12 13:46:53,C:\Users\AA\Desktop\q\840bea7f6da6bfcc6e24fcded6526ae4.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\Desktop\q\840bea7f6da6bfcc6e24fcded6526ae4.exe" )

2015/12/12 13:46:57,C:\Users\AA\Desktop\q\840bea7f6da6bfcc6e24fcded6526ae4.exe,47,Allowed ;创建交换数据流 (C:\Users\AA\Desktop\q\840bea7f6da6bfcc6e24fcded6526ae4.exe:Zone.Identifier)

2015/12/12 13:47:04,C:\Users\AA\Desktop\q\840bea7f6da6bfcc6e24fcded6526ae4.exe,53,Allowed ;执行应用程序 (C:\Users\AA\AppData\Roaming\ptoovacroic.exe)

2015/12/12 13:47:07,C:\Users\AA\Desktop\q\840bea7f6da6bfcc6e24fcded6526ae4.exe,53,Allowed ;执行应用程序 ("C:\windows\system32\cmd.exe" /c DEL C:\Users\AA\Desktop\q\840BEA~1.EXE)

2015/12/12 13:47:40,C:\Users\AA\AppData\Roaming\ptoovacroic.exe,53,Allowed ;执行应用程序 (C:\Users\AA\AppData\Roaming\ptoovacroic.exe)

2015/12/12 13:47:42,C:\Users\AA\AppData\Roaming\ptoovacroic.exe,47,Allowed ;创建交换数据流 (C:\Users\AA\AppData\Roaming\ptoovacroic.exe:Zone.Identifier)

2015/12/12 13:47:50,C:\Users\AA\AppData\Roaming\ptoovacroic.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Acrndtd)

2015/12/12 13:48:01,C:\Users\AA\AppData\Roaming\ptoovacroic.exe,53,Blocked ;执行应用程序 (bcdedit.exe /set {current} bootems off)
2015/12/12 13:48:02,C:\Users\AA\AppData\Roaming\ptoovacroic.exe,53,Blocked ;执行应用程序 ("C:\Windows\System32\vssadmin.exe" delete shadows /all /Quiet )
2015/12/12 13:48:04,C:\Users\AA\AppData\Roaming\ptoovacroic.exe,53,Blocked ;执行应用程序 (bcdedit.exe /set {current} advancedoptions off)
2015/12/12 13:48:06,C:\Users\AA\AppData\Roaming\ptoovacroic.exe,53,Blocked ;执行应用程序 (bcdedit.exe /set {current} optionsedit off)
2015/12/12 13:48:09,C:\Users\AA\AppData\Roaming\ptoovacroic.exe,53,Blocked ;执行应用程序 (bcdedit.exe /set {current} bootstatuspolicy IgnoreAllFailures)
2015/12/12 13:48:11,C:\Users\AA\AppData\Roaming\ptoovacroic.exe,53,Blocked ;执行应用程序 ("C:\Windows\System32\vssadmin.exe" delete shadows /all /Quiet )
2015/12/12 13:48:13,C:\Users\AA\AppData\Roaming\ptoovacroic.exe,53,Blocked ;执行应用程序 (bcdedit.exe /set {current} recoveryenabled off)

2015/12/12 13:48:16,C:\Users\AA\AppData\Roaming\ptoovacroic.exe,40,Blocked ;以修改权限打开进程或线程 (esif_assist.exe(pid=4048))

2015/12/12 13:48:18,C:\Users\AA\AppData\Roaming\ptoovacroic.exe,50,Allowed ;使用 DNS 解析服务访问网络

2015/12/12 13:48:20,C:\Users\AA\AppData\Roaming\ptoovacroic.exe,48,Blocked ;出站网络访问

2015/12/12 13:48:24,C:\Users\AA\AppData\Roaming\ptoovacroic.exe,53,Blocked ;执行应用程序 ("C:\Windows\System32\vssadmin.exe" delete shadows /all /Quiet )

2015/12/12 13:48:29,C:\Users\AA\AppData\Roaming\ptoovacroic.exe,53,Blocked ;执行应用程序 ("C:\Windows\System32\vssadmin.exe" delete shadows /all /Quiet )

2015/12/12 13:48:35,C:\Users\AA\AppData\Roaming\ptoovacroic.exe,53,Terminated ;执行应用程序 ("C:\Windows\System32\vssadmin.exe" delete shadows /all /Quiet )

[可疑文件] 每日样本

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块