KB26056484.exe 2/21 扫描发现恶意软件

显示全部楼层 · 发表于 2015-12-18 19:56:56

KB26056484.exe
 几分钟前此文件刚被扫描过，下面是该扫描的结果。
--------------------------------------------------------------------------------

名称： KB26056484.exe
大小：  473kB （484,352字节）
类型： PE32 executable (GUI) Intel 80386, for MS Windows
第一次出现： 2015年12月18日 GMT+1下午12:54:37
MD5： 4fcc95529600eadf85fae775bcbece46
SHA1： af2d890f741ccd9a38bdc264d78f6b39e99de626

状态：完成扫描。2/21 扫描发现恶意软件。
扫描于： 2015年12月18日 GMT+1下午12:54:39
https://virusscan.jotti.org/zh-CN/filescanjob/qqx5y5w77u

显示全部楼层 · 发表于 2015-12-18 21:24:46

NIS miss，看见有runonce的启动项，重启下。。。

显示全部楼层 · 发表于 2015-12-18 21:55:13

卡巴UDS

显示全部楼层 · 发表于 2015-12-18 22:15:10

cwl12315 发表于 2015-12-18 21:24
NIS miss，看见有runonce的启动项，重启下。。。

人呢？重启就完蛋了么？

显示全部楼层 · 发表于 2015-12-18 22:16:13

yzt1004 发表于 2015-12-18 21:55
卡巴UDS

我发现样本只要有注入的，HPA就会出手拦截

显示全部楼层 · 发表于 2015-12-18 22:26:38

本帖最后由 cwl12315 于 2015-12-18 22:33 编辑

墨家小子发表于 2015-12-18 22:15
人呢？重启就完蛋了么？

重启后什么也没感觉到，进程里也没有。直接去c盘找，无访问权限，pchunter提取出来，发现就是样本自身改了个名字。那再双击也就没啥意思了，干脆强力扫描直接把它杀了。

-------------------------------------------------------------
因为没有监视运行，所以问下它注入哪个进程了？
-------------------------------------------------------------
啊，看到了，explorer和userinit

显示全部楼层 · 发表于 2015-12-18 22:37:51

cwl12315 发表于 2015-12-18 22:26
重启后什么也没感觉到，进程里也没有。直接去c盘找，无访问权限，pchunter提取出来，发现就是样本自身 ...

你太会玩了，自问自答，我学不来

显示全部楼层 · 发表于 2015-12-18 22:47:17

墨家小子发表于 2015-12-18 22:37
你太会玩了，自问自答，我学不来

嘛，因为是后编辑的，所以之前写的就没改。
刚才没注意上面HPA的截图，后来才看见orz

显示全部楼层 · 发表于 2015-12-19 00:04:19

文件 ID 文件名大小(字节) 结果
28681397 KB26056484.rar 284.74 KB OK

以下位置提供了存档中包含的文件及其结果的列表:
文件 ID 文件名大小(字节) 结果
28681399 KB26056484.exe 473 KB UNDER ANALYSIS

显示全部楼层 · 发表于 2015-12-19 04:09:04

百度
Win32.Trojan.Kryptik.se.bav

[可疑文件] KB26056484.exe 2/21 扫描发现恶意软件

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块