KB家族又来找声纳玩了，六个

墨家小子

随意测了一个

2015/12/16 21:11:53,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AAA\Desktop\a\KB22472859.exe" )

2015/12/16 21:11:55,C:\Users\AAA\Desktop\a\KB22472859.exe,53,Allowed ;执行应用程序 ("C:\windows\SysWOW64\explorer.exe")

2015/12/16 21:11:57,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,wfdaaaab1ab4)

2015/12/16 21:11:58,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce,wfdaaaab1ab4)

2015/12/16 21:12:19,C:\Windows\SysWOW64\explorer.exe,48,Allowed ;出站网络访问
建立 出站 网络连接 (TCP)
远程地址=195.154.167.214  远程端口=7700

245867683

这种病毒，wd全杀没有任何怀疑。

墨家小子

245867683 发表于 2015-12-16 21:21
这种病毒，wd全杀没有任何怀疑。

起风了……

245867683

墨家小子 发表于 2015-12-16 21:24
起风了……

是真的全部杀了。。。

类别: 特洛伊木马

描述: 这个程序很危险，而且执行来自攻击者的命令。

推荐的操作: 立即删除这个软件。

项目:
containerfile:C:\Users\super\Desktop\KB22450765.rar
file:C:\Users\super\Desktop\KB22450765.rar->KB22450765.exe
webfile:C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{F14F8437-97AB-4E2C-A1F3-66CC8876113B}-KB22450765.rar|360chrome.exe
webfile:C:\Users\super\Desktop\KB22450765.rar|https://att.kafan.cn/forum.php?mo ... DUxMDQ3OHwxODcwNDA3|360chrome.exe

联机获取此项的详细信息。

类别: 特洛伊木马

描述: 这个程序很危险，而且执行来自攻击者的命令。

推荐的操作: 立即删除这个软件。

项目:
containerfile:C:\Users\super\Desktop\KB22425296.rar
containerfile:C:\Users\super\Desktop\KB22472859.rar
file:C:\Users\super\Desktop\KB22425296.rar->KB22425296.exe
file:C:\Users\super\Desktop\KB22472859.rar->KB22472859.exe
webfile:C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{03D0D7C6-0859-4A25-AF40-FFB0F51306C8}-KB22472859.rar|360chrome.exe
webfile:C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{A23E7A40-9E08-43CB-982A-E02AEF03B206}-KB22425296.rar|360chrome.exe
webfile:C:\Users\super\Desktop\KB22425296.rar|https://att.kafan.cn/forum.php?mo ... DUxMDQ3OHwxODcwNDA3|360chrome.exe
webfile:C:\Users\super\Desktop\KB22472859.rar|https://att.kafan.cn/forum.php?mo ... DUxMDQ3OHwxODcwNDA3|360chrome.exe

联机获取此项的详细信息。


类别: 特洛伊木马

描述: 这个程序很危险，而且执行来自攻击者的命令。

推荐的操作: 立即删除这个软件。

项目:
containerfile:C:\Users\super\Desktop\KB22406093.rar
file:C:\Users\super\Desktop\KB22406093.rar->KB22406093.exe
webfile:C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{623457CB-E088-4FA9-B823-1BCDADA80906}-KB22406093.rar|360chrome.exe
webfile:C:\Users\super\Desktop\KB22406093.rar|https://att.kafan.cn/forum.php?mo ... DUxMDQ3OHwxODcwNDA3|360chrome.exe

联机获取此项的详细信息。

类别: 特洛伊木马

描述: 这个程序很危险，而且执行来自攻击者的命令。

推荐的操作: 立即删除这个软件。

项目:
containerfile:C:\Users\super\Desktop\KB22295484.rar
containerfile:C:\Users\super\Desktop\KB22322656.rar
file:C:\Users\super\Desktop\KB22295484.rar->KB22295484.exe
file:C:\Users\super\Desktop\KB22322656.rar->KB22322656.exe
webfile:C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{0ABFFEAA-B8CB-448F-A0BB-B4E2B451AA71}-KB22295484.rar|360chrome.exe
webfile:C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{7110669D-D348-4CF1-829F-36776AF58C53}-KB22322656.rar|360chrome.exe
webfile:C:\Users\super\Desktop\KB22295484.rar|https://att.kafan.cn/forum.php?mo ... DUxMDQ3OHwxODcwNDA3|360chrome.exe
webfile:C:\Users\super\Desktop\KB22322656.rar|https://att.kafan.cn/forum.php?mo ... DUxMDQ3OHwxODcwNDA3|360chrome.exe

联机获取此项的详细信息。

墨家小子

245867683 发表于 2015-12-16 21:25
是真的全部杀了。。。

别磨叽我行不，你以为我对你的测试那么感兴趣呢？真是的，非逼我说实话，说实话很伤人的

坏脾气的男生

费尔云查杀全部杀

saga3721

文件 ID         文件名         大小(字节)         结果
28679288         %E6%96%B0%E5%BB%B...B9.rar         391.2 KB         OK

以下位置提供了存档中包含的文件及其结果的列表:
文件 ID         文件名         大小(字节)         结果
28679289         KB22295484.exe         457 KB         UNDER ANALYSIS
28679290         KB22406093.exe         200.5 KB         UNDER ANALYSIS
28679291         KB22425296.exe         200.5 KB         UNDER ANALYSIS
28679292         KB22450765.exe         200 KB         UNDER ANALYSIS
28679293         KB22472859.exe         203 KB         UNDER ANALYSIS

胖福

这些文件行为似乎各有不同！

第一个：KB2295484.exe双击过诺顿，注入msiexec.exe！


第二个：kb22322656.exe同样是注入msiexec.exe却被SONAR检测到并删除了！

文件名: kb22322656.exe
威胁名称: SONAR.Heuristic.132完整路径: 不可用
____________________________
____________________________

在电脑上的创建时间 
2015-12-17 ( 07:34:02 )

上次使用时间 
2015-12-17 ( 07:34:02 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

kb22322656.exe 威胁名称: SONAR.Heuristic.132
定位

极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。
____________________________

来源: 外部介质

源文件:
kb22322656.exe

____________________________

文件操作

文件: f:\norton样本\临时收集\ kb22322656.exe 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\AppDataLow\Software\{26AB0237-1BCA-69D2-A433-E685666CDD8E}\04301DC6\ 564b5ce09e->1be043d70c3d 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\kb22322656.exe, PID:5616) 未采取操作
事件: 进程启动: c:\Windows\System32\ msiexec.exe, PID:2392 (执行者 f:\norton样本\临时收集\kb22322656.exe, PID:5616) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ kb22322656.exe, PID:5616 (执行者 f:\norton样本\临时收集\kb22322656.exe, PID:5616) 未采取操作
____________________________

可疑操作

(执行者 f:\norton样本\临时收集\kb22322656.exe, PID:5616) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用



第三个到第六个：KB22406093.exe运行后创建自身为启动项，然后退出！


注销系统再启动后，SONAR杀了3个！

蓝天二号

GD 全杀，不一一截图了，，，