File name: AFB6.tmp.exe Detection ratio: 0 / 54 访问摄像头并加密勒索挂马

墨家小子

SHA256:        5d1c5fd351897808793436eeea68aff441ad7772df73cd9c4137913ac858b1c2
File name:        AFB6.tmp.exe
Detection ratio:        0 / 54
Analysis date:        2015-12-21 11:55:21 UTC ( 1 minute ago )
https://www.virustotal.com/en/fi ... nalysis/1450698921/

vm001

qvm10.1

njjsxy

saga3721

文件 ID         文件名         大小(字节)         结果
28683287         AFB6.tmp.rar         294.3 KB         OK

以下位置提供了存档中包含的文件及其结果的列表:
文件 ID         文件名         大小(字节)         结果
28683288         AFB6.tmp.exe         472.5 KB         UNDER ANALYSIS

欧阳宣

f-secure
Trojan:W32/Gen2124.66e896559a!Online
D:\Virus\neso_chi_a\AFB6.tmp.exe: Cleaned up

胖福

文件名: afb6.tmp.exe
威胁名称: SONAR.SuspBeh!gen115完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
不可用

上次使用时间 
(  )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


afb6.tmp.exe 威胁名称: SONAR.SuspBeh!gen115
定位


未知
诺顿社区中使用了此文件的用户数 未知。

未知
此文件版本当前 未知。

高
此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: f:\norton样本\临时收集\ afb6.tmp.exe 不需要操作
目录: c:\users\administrator\appdata\roaming\ 61fd517cc7 不需要操作
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->ActiveTime:1450742505 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->ActiveSkin:... 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Microsoft\Windows\CurrentVersion\ Run->61fd517cc7 不需要操作
____________________________

网络操作

事件: 网络活动 (执行者 f:\norton样本\临时收集\afb6.tmp.exe, PID:1688) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\afb6.tmp.exe, PID:1688) 未采取操作
(执行者 f:\norton样本\临时收集\afb6.tmp.exe, PID:1688) 未采取操作
事件: 进程启动: c:\Windows\ explorer.exe, PID:2604 (执行者 f:\norton样本\临时收集\afb6.tmp.exe, PID:1688) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ afb6.tmp.exe, PID:1688 (执行者 f:\norton样本\临时收集\afb6.tmp.exe, PID:1688) 未采取操作
事件: PE 文件创建: c:\users\administrator\appdata\roaming\61fd517cc7\ 024bb638af.exe (执行者 f:\norton样本\临时收集\afb6.tmp.exe, PID:1688) 未采取操作
____________________________

可疑操作

(执行者 f:\norton样本\临时收集\afb6.tmp.exe, PID:1688) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

lixihong10

ESET不杀

允许

访问摄像头，阻止。

允许

怀中抱妹杀。

帅不过三秒系列

小飞侠.net

ESET Smart Security 64位（高级启发式+启发式）++（Win 10 th2....）

奇虎360杀毒 64位（QVM二代）++（Win 7....）

。。。。查杀结果看图：Scan finished. 4/21 scanners reported malware.


样本MD5：
文件名: C:\Documents and Settings\Administrator\桌面\样本测试\MX Player Pro\刘嘉欣\7346797\958202\952802\馨妍\Zipx\AFB6.tmp.rar
文件大小: 301364 字节 (294.30 KB)
修改日期: 2015-12-22 09:28
MD5: f6a5414064c6ce49e1dd0208af8c9764
SHA1: 80a538b565f5308bd2c62b70903a2f62771d0b24
SHA256: 178f5d83477ff4132144f57a85230edbe8c0671167c6c96f733ea3ff9c245719
CRC32: b96ce2ff

墨家小子

lixihong10 发表于 2015-12-22 09:16
ESET不杀

允许

哪张截图是拦截开启摄像头的？

ksss5566

AVA 25.4273
GD 25.5863

*** 进程 ***

进程: 6092
文件名: afb6.tmp.exe
路径: c:\users\   \desktop\afb6.tmp\afb6.tmp.exe

发行商：: 未知发行商

启动进程：: explorer.exe
发行商：: Microsoft Windows


*** 操作 ***

程序正试图建立自启动项，以在系统启动时自动运行。
程序正经过网络建立连接。
程序正等待传入网络连接。
程序已创建或已操作可执行文件。


*** 隔离区 ***

下列文件被转入隔离区：
C:\Users\  \Desktop\AFB6.tmp\AFB6.tmp.exe
c:\users\  \appdata\roaming\6b697e7f7b\001d194309.exe

下列注册表项被删除：

\registry\user\s-1-5-21-4231921269-426583314-2735950812-1000\software\microsoft\windows\currentversion\run || 6b697e7f7b

YGLhL4cKLCcoJiYnCC0nJyYmJwcuJ45ygi8nm4AuJycmJicHuWLhL52QLScH6XKCKiYmJ6igLCeoYmJyggracnJiYnJyoC4nJycnJgabcoJiYnKCsC0nJyYmJwfccnJiYnJywC8nJyYmJweNcoIpJiYnmHCncnJw93JyYmJycnDYcnJiYnJycPlygmJicoJwuqLhWmO2cqLhWmO2cmJicNpygikmJieYcOxycmJicnJw/HKCKiYmJ6hwfnJyYmJycnCOcoJwnnKCKieoYmJw3nKCKSYmJ5hwn3JyYmJycnCvcnJiYnJygJZyggoA
规则版本： 5.0.71
OS: Windows 6.1 Service Pack 0.0 Build: 7600 - Workstation 32bit OS
DLL版本： 55982

"C:\Users\   \Desktop\AFB6.tmp\AFB6.tmp.exe"
MD5:
C:\Windows\Explorer.EXE
MD5: