File name: 356455.exe Detection ratio: 0 / 54 居然没有一个报的

墨家小子

@胖福 这个跟上午那个数字的样本差不多

SHA256:        79a2d192274cbb054a94ad4f6dd3711bba847090281de619bfc2a9a2f163e28d
File name:        356455.exe
Detection ratio:        0 / 54
Analysis date:        2015-12-21 09:18:17 UTC ( 1 minute ago )
https://www.virustotal.com/en/fi ... nalysis/1450689497/



2015/12/21 17:21:51,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\DD\Desktop\1\356455.exe" )

2015/12/21 17:21:57,C:\Users\DD\Desktop\1\356455.exe,47,Allowed ;创建交换数据流 (C:\Users\DD\Desktop\1\356455.exe:Zone.Identifier)

2015/12/21 17:21:59,C:\Users\DD\Desktop\1\356455.exe,53,Allowed ;执行应用程序 (C:\Users\DD\AppData\Roaming\fhlenacroic.exe)

2015/12/21 17:22:02,C:\Users\DD\Desktop\1\356455.exe,53,Allowed ;执行应用程序 ("C:\windows\system32\cmd.exe" /c DEL C:\Users\DD\Desktop\1\356455.exe)

2015/12/21 17:22:04,C:\Users\DD\AppData\Roaming\fhlenacroic.exe,47,Allowed ;创建交换数据流 (C:\Users\DD\AppData\Roaming\fhlenacroic.exe:Zone.Identifier)

2015/12/21 17:22:05,C:\Users\DD\AppData\Roaming\fhlenacroic.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,santa_svc)

2015/12/21 17:22:07,C:\Users\DD\AppData\Roaming\fhlenacroic.exe,40,Blocked ;以修改权限打开进程或线程 (esif_assist.exe(pid=3760))

2015/12/21 17:22:08,C:\Users\DD\AppData\Roaming\fhlenacroic.exe,53,Blocked ;执行应用程序 ("C:\Windows\System32\vssadmin.exe"  delete  shadows  /all   /Quiet  )

2015/12/21 17:22:14,C:\Users\DD\AppData\Roaming\fhlenacroic.exe,53,Blocked ;执行应用程序 ("C:\Windows\System32\vssadmin.exe"  delete  shadows  /all   /Quiet  )

2015/12/21 17:22:19,C:\Users\DD\AppData\Roaming\fhlenacroic.exe,53,Blocked ;执行应用程序 ("C:\Windows\System32\vssadmin.exe"  delete  shadows  /all   /Quiet  )

2015/12/21 17:22:25,C:\Users\DD\AppData\Roaming\fhlenacroic.exe,53,Blocked ;执行应用程序 ("C:\Windows\System32\vssadmin.exe"  delete  shadows  /all   /Quiet  )

2015/12/21 17:22:30,C:\Users\DD\AppData\Roaming\fhlenacroic.exe,53,Blocked ;执行应用程序 ("C:\Windows\System32\vssadmin.exe"  delete  shadows  /all   /Quiet  )

2015/12/21 17:22:38,C:\Users\DD\AppData\Roaming\fhlenacroic.exe,53,Terminated ;执行应用程序 ("C:\Windows\System32\vssadmin.exe"  delete  shadows  /all   /Quiet  )

第一次运行的时候最后会联网，再次测试就没有了，不停重复执行vssadmin.exe

墨家小子

煤泥，下载七个了，还不回帖？云杀这么慢么？

wjy19800315

avira右键不杀

隔离区杀

Q1628393554

火绒竟然报了

ericdj

AVG右键miss

pal家族

卡巴杀
刚才看到立即下载回复，货真价实！

saga3721

文件 ID         文件名         大小(字节)         结果
28683286         356455.rar         192.43 KB         OK

以下位置提供了存档中包含的文件及其结果的列表:
文件 ID         文件名         大小(字节)         结果
28683098         356455.exe         327.5 KB         MALWARE


下面提供了与每个样本相关的详细报告:
文件名         结果
356455.exe         MALWARE

已确定“356455.exe”文件是“MALWARE”。 我们的分析人员将这种威胁命名为“TR/Kryptik.pol.4”。 术语“TR/”指的是能够窥探数据、侵犯您的隐私或对系统进行不需要的修改的特洛伊木马。 通过接下来的某次更新，我们的病毒定义文件(VDF)中将添加这项检测。

jbng

FSP报

胖福

文件名: voaifacroic.exe
威胁名称: SONAR.Cryptlocker!g17完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2015-12-22 ( 07:39:13 )

上次使用时间 
2015-12-22 ( 07:39:13 )

启动项目 
是

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


voaifacroic.exe 威胁名称: SONAR.Cryptlocker!g17
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
voaifacroic.exe

____________________________

文件操作

文件: c:\users\administrator\appdata\roaming\ voaifacroic.exe 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Microsoft\Windows\CurrentVersion\ Run->santa_svc 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\zsys\ 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\ zsys->ID 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\ A0EC85F5EBCD669D 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\ A0EC85F5EBCD669D->data 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ System->EnableLinkedConnections 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Microsoft\Windows\CurrentVersion\ Run->santa_svc 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->ActiveTime:1450741148 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->ActiveSkin:... 已修复
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\administrator\appdata\roaming\voaifacroic.exe, PID:5140) 未采取操作
(执行者 c:\users\administrator\appdata\roaming\voaifacroic.exe, PID:5140) 未采取操作
事件: 进程启动: c:\users\administrator\appdata\roaming\ voaifacroic.exe, PID:5140 (执行者 c:\users\administrator\appdata\roaming\voaifacroic.exe, PID:5140) 未采取操作
____________________________

可疑操作

(执行者 c:\users\administrator\appdata\roaming\voaifacroic.exe, PID:5140) 未采取操作
事件: 击键捕获 (执行者 c:\users\administrator\appdata\roaming\voaifacroic.exe, PID:5140) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

275751198

360 HEUR/QVM41.2.Malware.Gen