收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 File name: bd40……8005.exe Detection ratio: 1 / 54
返回列表 发新帖
查看: 2366|回复: 9
收起左侧

[可疑文件] File name: bd40……8005.exe Detection ratio: 1 / 54

[复制链接]
墨家小子
发表于 2015-12-22 19:26:00 | 显示全部楼层 |阅读模式
SHA256:        bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005
File name:        bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe
Detection ratio:        1 / 54
Analysis date:        2015-12-22 11:18:38 UTC ( 0 minutes ago )
https://www.virustotal.com/en/fi ... nalysis/1450783118/



2015/12/22 19:20:32,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AAA\Desktop\1\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe" )

2015/12/22 19:20:33,C:\Users\AAA\Desktop\1\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe,53,Allowed ;执行应用程序 ("C:\windows\SysWOW64\explorer.exe")

2015/12/22 19:20:37,C:\Users\AAA\Desktop\1\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe,53,Allowed ;执行应用程序 (C:\windows\system32\cmd.exe /c ""C:\Users\AAA\Desktop\1\6034625.bat" "C:\Users\AAA\Desktop\1\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe"")

2015/12/22 19:20:40,C:\Windows\SysWOW64\cmd.exe,53,Blocked ;执行应用程序 (attrib  -r -s -h "C:\Users\AAA\Desktop\1\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe")

2015/12/22 19:20:42,C:\Windows\SysWOW64\explorer.exe,41,Allowed ;修改受保护的文件 (C:\Windows\-1293562734-1430344641.exe)

2015/12/22 19:20:44,C:\Windows\SysWOW64\explorer.exe,50,Allowed ;使用 DNS 解析服务访问网络

2015/12/22 19:20:45,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon,Shell)

2015/12/22 19:20:47,C:\Windows\SysWOW64\explorer.exe,48,Allowed ;出站网络访问

2015/12/22 19:21:19,C:\Windows\SysWOW64\explorer.exe,40,Blocked ;以修改权限打开进程或线程 (explorer.exe(pid=3568))

2015/12/22 19:21:21,C:\Windows\SysWOW64\explorer.exe,40,Blocked ;以修改权限打开进程或线程 (esif_assist.exe(pid=3180))

2015/12/22 19:21:26,C:\Windows\SysWOW64\explorer.exe,54,Allowed ;接受入站网络数据包

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +20 收起 理由
wjy19800315 + 20 版区有你更精彩: )

查看全部评分

回复

举报

pal家族
发表于 2015-12-22 19:28:34 | 显示全部楼层
本帖最后由 pal家族 于 2015-12-22 19:45 编辑

原谅我,白天太忙,晚上超累,就挑几个测试了

卡巴杀

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

cwl12315
发表于 2015-12-22 20:04:30 | 显示全部楼层
这个6啊,连续触发6个Sonar警报,explorer.exe同时不断报错,重启恢复正常:
(SONAR.SuspBeh!gen277) (检测方: SONAR),已删除,已解决
(SONAR.LoadPoint!gen5) (检测方: SONAR),已删除,已解决
(SONAR.SuspTempRun2) (检测方: SONAR),已删除,已解决
(SONAR.SuspProfileRun) (检测方: SONAR),已删除,已解决
(SONAR.SuspBeh!gen316) (检测方: SONAR),已删除,已解决
(SONAR.SuspBeh!gen313) (检测方: SONAR),已删除,已解决

---------------------------------------------------------------
Sonar记录的操作信息(操作信息都一样就只放上其中一个):

文件名: bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe
威胁名称: SONAR.SuspBeh!gen277完整路径: 不可用
____________________________
____________________________

在电脑上的创建时间 
不可用

上次使用时间 
(  )

启动项目 


已启动 


SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe 威胁名称: SONAR.SuspBeh!gen277
定位


未知
诺顿社区中使用了此文件的用户数 未知。

未知
此文件版本当前 未知。


此文件具有高风险。
____________________________

来源: 外部介质

____________________________

文件操作

文件: c:\users\cwl\downloads\kafan\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005\ bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe 不需要操作
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\cwl\downloads\kafan\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe, PID:4448) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ explorer.exe, PID:3796 (执行者 c:\users\cwl\downloads\kafan\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe, PID:4448) 未采取操作
(执行者 c:\users\cwl\downloads\kafan\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe, PID:4448) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ cmd.exe, PID:1712 (执行者 c:\users\cwl\downloads\kafan\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe, PID:4448) 未采取操作
事件: 进程启动: c:\users\cwl\downloads\kafan\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005\ bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe, PID:4448 (执行者 c:\users\cwl\downloads\kafan\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe, PID:4448) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ attrib.exe, PID:3472 (执行者 c:\users\cwl\downloads\kafan\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe, PID:4448) 未采取操作
事件: PE 文件创建: c:\Users\cwl\AppData\Local\Temp\ 186898316-1929179487.exe (执行者 c:\users\cwl\downloads\kafan\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe, PID:4448) 未采取操作
____________________________

可疑操作

(执行者 c:\users\cwl\downloads\kafan\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe, PID:4448) 未采取操作
事件: 尝试在进程地址空间内启动远程线程 (执行者 c:\users\cwl\downloads\kafan\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe, PID:4448) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

仙剑问情
发表于 2015-12-22 21:48:03 | 显示全部楼层
小红伞报安全
回复

举报

欧阳宣
头像被屏蔽
发表于 2015-12-23 01:47:34 | 显示全部楼层
f-secure
Trojan:W32/Gen1527.0b66c58e07!Online
D:\Virus\Virus1\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.exe: Cleaned up
回复

举报

小飞侠.net
发表于 2015-12-23 04:03:21 | 显示全部楼层
ESET Smart Security 64位(高级启发式+启发式+DNA+智能签名)++(Win 10 th2....):Win32/Kryptik.EJBT

奇虎360杀毒 64位(QVM二代、360云查杀、Avira、BitDefender)++(Win 7....):

。。。。查杀结果看图:Scan finished. 2/21 scanners reported malware.


样本MD5:
文件名: C:\Users\xfxnet2000\Desktop\MX Player Pro\刘嘉欣\7346797\958202\952802\馨妍\ZipX\bd40b0ef40a3df1f2f549f475840075124191a27828ae82b53e7f2ed0e308005.rar
文件大小: 133764 字节 (130.63 KB)
修改日期: 2015-12-23 03:46
MD5: 8c499855afdac2e69ee27e612bd7c5b6
SHA1: 2180589047677facbbdfcd6d24d79ea6182c314e
SHA256: 349901e30916477ba53e602241daeec94591eaa59c61967fa8bb57d8ce728a8b
CRC32: 8bc90307












本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

蓝天二号
发表于 2015-12-23 09:28:42 | 显示全部楼层
火绒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

金色飞龙
发表于 2015-12-23 20:42:10 | 显示全部楼层
mse查杀,报毒名称为TrojanSpy:Win32/Ursnif.HN
回复

举报

saga3721
发表于 2015-12-23 21:14:38 | 显示全部楼层
红伞杀“TR/Crypt.ZPACK.64075 [trojan]”
回复

举报

nick20010117
发表于 2015-12-26 11:53:56 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-18 19:10 , Processed in 0.126713 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表