File name: tmp9EDE.tmp.exe Detection ratio: 6 / 54

墨家小子

SHA256:        6fb3edacf6eabc50836725e956edbd1b450abb1e208b5db466243d2ae51e5d2d
File name:        tmp9EDE.tmp.exe
Detection ratio:        6 / 54
Analysis date:        2015-12-25 02:13:25 UTC ( 1 minute ago )
https://www.virustotal.com/en/fi ... nalysis/1451009605/



2015/12/25 10:15:23,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\Desktop\1\tmp9EDE.tmp.exe" )

2015/12/25 10:15:25,C:\Users\AA\Desktop\1\tmp9EDE.tmp.exe,53,Allowed ;执行应用程序 ("C:\Windows\System32\cmd.exe" /c PING 8.8.8.8 -n 5 > nul)

2015/12/25 10:15:26,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (PING  8.8.8.8 -n 5 )

2015/12/25 10:15:27,C:\Windows\SysWOW64\PING.EXE,48,Allowed ;出站网络访问

2015/12/25 10:15:32,C:\Users\AA\Desktop\1\tmp9EDE.tmp.exe,47,Allowed ;创建交换数据流 (C:\Users\AA\Desktop\1\tmp9EDE.tmp.exe:Zone.Identifier)

2015/12/25 10:15:35,C:\Users\AA\Desktop\1\tmp9EDE.tmp.exe,53,Allowed ;执行应用程序 ("C:\Windows\Microsoft.NET\Framework\v4.0.30319\ilasm.exe" "C:\Users\AA\Desktop\1\tmp9EDE.tmp.exe" "C:\Users\AA\AppData\Roaming\vrg4zna4.bfe.exe")

2015/12/25 10:15:37,C:\Users\AA\Desktop\1\tmp9EDE.tmp.exe,53,Allowed ;执行应用程序 ("C:\Windows\Microsoft.NET\Framework\v4.0.30319\ilasm.exe" "C:\Users\AA\Desktop\1\tmp9EDE.tmp.exe" "C:\Users\AA\AppData\Roaming\vrg4zna4.bfe.exe")

2015/12/25 10:15:44,C:\Windows\Microsoft.NET\Framework\v4.0.30319\ilasm.exe,53,Allowed ;执行应用程序 ("C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\AA\AppData\Local\Temp\zg2mkobo.cmdline")

2015/12/25 10:15:44,C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe,53,Allowed ;执行应用程序 (\??\C:\windows\system32\conhost.exe 0xffffffff)

2015/12/25 10:15:44,C:\Windows\System32\conhost.exe,40,Allowed ;以修改权限打开进程或线程 (csc.exe(pid=6012))

2015/12/25 10:15:49,C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe,53,Allowed ;执行应用程序 (C:\Windows\Microsoft.NET\Framework\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\AA\AppData\Local\Temp\RES5191.tmp" "c:\Users\AA\AppData\Roaming\CSC53B817A7B10644E6B932491214E1182.TMP")

2015/12/25 10:15:51,C:\Windows\Microsoft.NET\Framework\v4.0.30319\ilasm.exe,41,Blocked ;修改受保护的文件 (C:\Users\AA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bbjadfvl.p0p.url)

2015/12/25 10:15:52,C:\Users\AA\Desktop\1\tmp9EDE.tmp.exe,53,Allowed ;执行应用程序 ("C:\Windows\Microsoft.NET\Framework\v4.0.30319\ilasm.exe")

2015/12/25 10:15:55,C:\Users\AA\Desktop\1\tmp9EDE.tmp.exe,53,Allowed ;执行应用程序 ("C:\Windows\Microsoft.NET\Framework\v4.0.30319\ilasm.exe")

2015/12/25 10:15:57,C:\Windows\Microsoft.NET\Framework\v4.0.30319\ilasm.exe,11,Blocked ;记录键盘输入

2015/12/25 10:15:59,C:\Windows\Microsoft.NET\Framework\v4.0.30319\ilasm.exe,53,Allowed ;执行应用程序 ("C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\AA\AppData\Local\Temp\41vsywcq.cmdline")

2015/12/25 10:15:59,C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe,53,Allowed ;执行应用程序 (\??\C:\windows\system32\conhost.exe 0xffffffff)

2015/12/25 10:15:59,C:\Windows\System32\conhost.exe,40,Allowed ;以修改权限打开进程或线程 (csc.exe(pid=5568))

2015/12/25 10:16:00,C:\Windows\Microsoft.NET\Framework\v4.0.30319\ilasm.exe,50,Allowed ;使用 DNS 解析服务访问网络

2015/12/25 10:16:02,C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe,53,Allowed ;执行应用程序 (C:\Windows\Microsoft.NET\Framework\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\AA\AppData\Local\Temp\RES8C58.tmp" "c:\Users\AA\AppData\Local\Temp\CSCC8AB9309A79746DF8F592EEBF5CFB69E.TMP")

2015/12/25 10:16:06,C:\Windows\Microsoft.NET\Framework\v4.0.30319\ilasm.exe,48,Blocked ;出站网络访问

2015/12/25 10:16:09,C:\Windows\Microsoft.NET\Framework\v4.0.30319\ilasm.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData\Local\Temp\41vsywcq.exe" )

2015/12/25 10:16:13,C:\Users\AA\AppData\Local\Temp\41vsywcq.exe,53,Allowed ;执行应用程序 ("C:\Windows\Microsoft.NET\Framework\v4.0.30319\ilasm.exe" )

2015/12/25 10:16:13,C:\Windows\Microsoft.NET\Framework\v4.0.30319\ilasm.exe,53,Allowed ;执行应用程序 (\??\C:\windows\system32\conhost.exe 0xffffffff)

2015/12/25 10:16:13,C:\Windows\System32\conhost.exe,40,Allowed ;以修改权限打开进程或线程 (ilasm.exe(pid=9708))

胖福

文件名: tmp9ede.tmp.exe
威胁名称: SAPE.Heur.978C7完整路径: f:\norton样本\临时收集\tmp9ede.tmp.exe

____________________________

____________________________


在电脑上的创建时间 
2015-12-25 ( 12:09:21 )

上次使用时间 
2015-12-25 ( 12:11:22 )

启动项目 
否

已启动 
否

威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。

____________________________


tmp9ede.tmp.exe 威胁名称: SAPE.Heur.978C7
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
tmp9ede.tmp.exe

____________________________

文件操作

文件: f:\norton样本\临时收集\ tmp9ede.tmp.exe 已删除
____________________________


文件指纹 - SHA:
6fb3edacf6eabc50836725e956edbd1b450abb1e208b5db466243d2ae51e5d2d
文件指纹 - MD5:
不可用

kxmp

to mcafee

aboringman

AVG：

扫描：killed（by web protection）

"";"Trojan horse MSIL9.AZZA, att.kafan.cn/forum.php?mod=attachment&aid=MjczNzI4Mnw5NGY5MTViZXwxNDUxMDU1MDYwfDEwMDA1MDF8MTg3MjA3Ng%3D%3D";"Object was blocked";"URL";"2015/12/25, 22:51:26"
"";"Trojan horse MSIL9.AZZA, att.kafan.cn/forum.php?mod=attachment&aid=MjczNzI4Mnw5NGY5MTViZXwxNDUxMDU1MDYwfDEwMDA1MDF8MTg3MjA3Ng%3D%3D:\tmp9EDE.tmp.exe";"Unresolved";"Embedded element in the archive, email attachment, cookie etc.";"2015/12/25, 22:51:26"

双击：实机双击（不入沙），关闭网页监控及实时监控，运行样本，IDP闪电击杀之。

"";"IDP.Program.D1B0A5C0, C:\Users\killer\Desktop\tmp9EDE.tmp.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2015/12/25, 22:52:30"
"";", C:\Users\killer\Desktop\tmp9EDE.tmp.exe";"Object was blocked";"Process";"2015/12/25, 22:52:30"

zl181503

火绒报毒