Detection ratio: 3 / 54

显示全部楼层 · 发表于 2015-12-16 22:05:12

SHA256: 816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09
File name: 816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09.exe
Detection ratio: 3 / 54
Analysis date: 2015-12-16 14:01:38 UTC ( 1 minute ago )
https://www.virustotal.com/en/fi ... nalysis/1450274498/

2015/12/16 22:01:44,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AAA\Desktop\a\816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09.exe" )

2015/12/16 22:01:50,C:\Users\AAA\Desktop\a\816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09.exe,53,Allowed ;执行应用程序 ("C:\Users\AAA\Desktop\a\816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09.exe" )

2015/12/16 22:02:17,C:\Users\AAA\Desktop\a\816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,{36638998-312E-703D-F5E6-0AF97B3D9689})

2015/12/16 22:02:19,C:\Users\AAA\Desktop\a\816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,YpnPack)

2015/12/16 22:02:21,C:\Users\AAA\Desktop\a\816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09.exe,50,Allowed ;使用 DNS 解析服务访问网络

2015/12/16 22:02:26,C:\Users\AAA\Desktop\a\816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09.exe,48,Allowed ;出站网络访问

显示全部楼层 · 发表于 2015-12-16 22:49:52

过费尔云查杀，未测主防，过腾讯管家

显示全部楼层 · 发表于 2015-12-17 08:16:20

文件名: 816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09.exe
威胁名称: SONAR.Heuristic.132完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间
2015-12-17 ( 08:15:42 )

上次使用时间
2015-12-17 ( 08:15:42 )

启动项目
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09.exe 威胁名称: SONAR.Heuristic.132
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09.exe

____________________________

文件操作

文件: f:\norton样本\临时收集\ 816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09.exe 威胁已删除
事件: 正在运行进程: f:\norton样本\临时收集\ 816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09.exe 已终止
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\AppDataLow\Software\{26AB0237-1BCA-69D2-A433-E685666CDD8E}\04301DC6\ 564b5ce09e->6f5dfe7dbdc8ed14 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09.exe, PID:1388) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09.exe, PID:5664 (执行者 f:\norton样本\临时收集\816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09.exe, PID:1388) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09.exe, PID:1388 (执行者 f:\norton样本\临时收集\816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09.exe, PID:1388) 未采取操作
____________________________

可疑操作

事件: 尝试在进程地址空间内启动远程线程 (执行者 f:\norton样本\临时收集\816ad839af056de15b624aff8cc0aa39452d0f4bed5b0150c067b924ef653e09.exe, PID:1388) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

[可疑文件] Detection ratio: 3 / 54

本帖子中包含更多资源