Detection ratio: 8 / 55 利用explorer添加启动项 过SSF

墨家小子

SHA256: e2e9820dde1aebe8826877475438e816cffa886da416b7facbcb035bde5d18a3  
File name: e2e9820dde1aebe8826877475438e816cffa886da416b7facbcb035bde5d18a3.exe
Detection ratio: 8 / 55  
Analysis date: 2015-12-14 03:16:42 UTC ( 0 minutes ago )  
https://www.virustotal.com/en/fi ... nalysis/1450063002/



2015/12/14 11:16:46,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AAA\Desktop\w

\e2e9820dde1aebe8826877475438e816cffa886da416b7facbcb035bde5d18a3.exe" )

2015/12/14 11:17:05,C:\Users\AAA\Desktop\w

\e2e9820dde1aebe8826877475438e816cffa886da416b7facbcb035bde5d18a3.exe,53,Allowed ;执行应用

程序 (explorer.exe)

2015/12/14 11:17:17,C:\Windows\SysWOW64\explorer.exe,50,Allowed ;使用 DNS 解析服务访问网络

2015/12/14 11:17:43,C:\Windows\SysWOW64\explorer.exe,48,Allowed ;出站网络访问

2015/12/14 11:18:23,C:\Windows\SysWOW64\explorer.exe,47,Allowed ;创建交换数据流 (C:\Users\AAA

\AppData\Roaming\vuujrghd\jgigeece.exe:Zone.Identifier)

2015/12/14 11:18:26,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;修改受保护的注册表键 (HKCU

\Software\Microsoft\Windows\CurrentVersion\Run,NetMeterEvo)

2015/12/14 11:18:29,C:\Windows\SysWOW64\explorer.exe,53,Allowed ;执行应用程序 (C:\windows

\SysWOW64\WerFault.exe -u -p 7284 -s 976)

胖福

文件名: e2e9820dde1aebe8826877475438e816cffa886da416b7facbcb035bde5d18a3.exe
威胁名称: SONAR.Heuristic.132完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2015-12-14 ( 11:26:30 )

上次使用时间 
2015-12-14 ( 11:26:30 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


e2e9820dde1aebe8826877475438e816cffa886da416b7facbcb035bde5d18a3.exe 威胁名称: SONAR.Heuristic.132
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
e2e9820dde1aebe8826877475438e816cffa886da416b7facbcb035bde5d18a3.exe

____________________________

文件操作

文件: f:\norton样本\临时收集\ e2e9820dde1aebe8826877475438e816cffa886da416b7facbcb035bde5d18a3.exe 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\e2e9820dde1aebe8826877475438e816cffa886da416b7facbcb035bde5d18a3.exe, PID:2012) 未采取操作
事件: 进程启动: c:\Windows\ explorer.exe, PID:3996 (执行者 f:\norton样本\临时收集\e2e9820dde1aebe8826877475438e816cffa886da416b7facbcb035bde5d18a3.exe, PID:2012) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ e2e9820dde1aebe8826877475438e816cffa886da416b7facbcb035bde5d18a3.exe, PID:2012 (执行者 f:\norton样本\临时收集\e2e9820dde1aebe8826877475438e816cffa886da416b7facbcb035bde5d18a3.exe, PID:2012) 未采取操作
____________________________

可疑操作

(执行者 f:\norton样本\临时收集\e2e9820dde1aebe8826877475438e816cffa886da416b7facbcb035bde5d18a3.exe, PID:2012) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

心痛的伤不起

wd kill

xyz0703

14.12.2015 12.21.20;检测到的对象（文件）已删除。;C:\Users\XYZ\Desktop\e2e9820dde1aebe8826877475438e816cffa886da416b7facbcb035bde5d18a3.exe;Microsoft Windows Search Protocol Host;C:\Users\XYZ\Desktop\e2e9820dde1aebe8826877475438e816cffa886da416b7facbcb035bde5d18a3.exe;12/14/2015 12:21:20;UDS:DangerousObject.Multi.Generic

samlin01

红伞kill
zpack.224388

saga3721

红伞杀“TR/Crypt.ZPACK.224313 [trojan]”

小飞侠.net

ESET Smart Security 64位（高级启发式+启发式+DNA+智能签名）++（Win 10 th2....）：

奇虎360杀毒 64位（QVM二代、360云查杀、Avira、BitDefender）++（Win 7....）：

。。。。查杀结果看图：Scan finished. 12/21 scanners reported malware.


样本MD5：
文件名: C:\Users\xfxnet2000\Desktop\MX Player Pro\刘嘉欣\7346797\958202\952802\馨妍\e2e9820dde1aebe8826877475438e816cffa886da416b7facbcb035bde5d18a3.rar
文件大小: 99252 字节 (96.93 KB)
修改日期: 2015-12-15 08:57
MD5: a00bc299605a2e6e19ffb70685e28d1c
SHA1: 9c6ed209b9d90a439eddaa271f81f0d9d703314d
SHA256: 74ffbd9a4eba9668459bc58113ad5754c0a35ee25de29ed2ceb589a3ac54c488
CRC32: e1032403