严重破坏警告！可能破坏分区表！并且可能反虚拟机！或许感染过ramnit！

Renascence

陌上~烟雨遥 发表于 2015-12-13 15:13
NS没有反应，已经上报

“订单恢复”沙盘内运行未见异常

“防冻结”双击后SONAR杀

文件名: 防冻结.exe
威胁名称: SONAR.Heuristic.138完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2015/12/13 ( 15:29:01 )

上次使用时间 
2015/12/13 ( 15:29:01 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


防冻结.exe 威胁名称: SONAR.Heuristic.138
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


https://att.kafan.cn/forum.php?mo ... DkzMDU0NXwxODY5NzA5
已下载文件 防冻结.exe 威胁名称: SONAR.Heuristic.138
从 att.kafan.cn
来源: 外部介质

winrar.exe


创建的文件:
防冻结.exe

____________________________

文件操作

文件: c:\users\XXX\downloads\bd\bd\ 防冻结.exe 威胁已删除
目录: c:\sandbox\XXX\defaultbox\user\current\appdata\local\temp\ e_n30005 威胁已删除
____________________________

系统设置操作

事件: 浏览器进程启动 (执行者 c:\users\XXX\downloads\bd\bd\防冻结.exe, PID:4424) 未采取操作
事件: PE 文件创建: c:\sandbox\XXX\defaultbox\user\current\appdata\local\temp\e_n30005\ krnln.fnr (执行者 c:\users\XXX\downloads\bd\bd\防冻结.exe, PID:4424) 未采取操作
事件: 进程启动: c:\users\XXX\downloads\bd\bd\ 防冻结.exe, PID:4424 (执行者 c:\users\XXX\downloads\bd\bd\防冻结.exe, PID:4424) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

XywCloud

我这边简单看了下，没有看出分区表这种破坏行为，但是盗号行为肯定是有的。
另外，至于Ramnit，估计又是一个修复不完整的。

zhou0197

XywCloud 发表于 2015-12-13 15:35
我这边简单看了下，没有看出分区表这种破坏行为，但是盗号行为肯定是有的。
另外，至于Ramnit，估计又是一 ...

目前两个都没有？那么我可能还要再确认一下……

XywCloud

zhou0197 发表于 2015-12-13 15:40
目前两个都没有？那么我可能还要再确认一下……

我目前没看出来，沙盘运行的时候，那个Ramnit没有释放出来，但我在PE结构里看到有内容，一看就是没有修复完整的。

zhou0197

XywCloud 发表于 2015-12-13 15:51
我目前没看出来，沙盘运行的时候，那个Ramnit没有释放出来，但我在PE结构里看到有内容，一看就是没有修复 ...

了解……

蛮王开大算我输

zhou0197 发表于 2015-12-13 15:52
了解……

小伙子，我在贴吧见过你

hzz2009

陌染淡殇

saga3721

文件 ID         文件名         大小(字节)         结果
28675209         bd.rar         762.54 KB         OK

以下位置提供了存档中包含的文件及其结果的列表:
文件 ID         文件名         大小(字节)         结果
28675210         bd/         886.23 KB         UNDER ANALYSIS

小飞侠.net

ESET Smart Security 64位（高级启发式+启发式+DNA+智能签名）++（Win 10 th2....）

奇虎360杀毒 64位（QVM二代）++（Win 7....）]

。。。。查杀结果看图：


样本MD5：
文件名: C:\Users\xfxnet2000\Desktop\MX Player Pro\刘嘉欣\7346797\958202\952802\馨妍\bd.part2.rar
文件大小: 522463 字节 (510.22 KB)
修改日期: 2015-12-13 20:15
MD5: f4dad09d07849e3fa0c68f85b9882d5f
SHA1: 9d33b70f3066d9bf7a412c9854140430096c1750
SHA256: 2a874ed9f7a5c3e80bd7967cf572ec781a998cb5ccfbb228e1e3e141353a69ed
CRC32: 87fe0cee

文件名: C:\Users\xfxnet2000\Desktop\MX Player Pro\刘嘉欣\7346797\958202\952802\馨妍\bd.part1.rar
文件大小: 716800 字节 (700.00 KB)
修改日期: 2015-12-13 20:12
MD5: 57bebbcdc82490a315ec5c064bb7bfec
SHA1: ab79415d65ac46ee169a2965b79208bf5476710d
SHA256: a269d7163675d1994de0bba085618d3242ca05b6ff38d88d0854b6236ef2565f
CRC32: 3900a7c4