File name: lol.exe Detection ratio: 7 / 55

显示全部楼层 · 发表于 2016-1-5 10:22:13

SHA256: dac8b3924395ee640150df8fbec9de0c8bdf088a19fbc6f44c6536c4d600e696
File name: lol.exe
Detection ratio: 7 / 55
Analysis date: 2016-01-05 02:18:47 UTC ( 1 minute ago )
https://www.virustotal.com/en/fi ... nalysis/1451960327/

2016/1/5 10:17:44,C:\Windows\System32\wscript.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData

\Local\Temp\lol.exe" )

2016/1/5 10:17:46,C:\Users\AA\AppData\Local\Temp\lol.exe,50,Allowed ;使用 DNS 解析服务访问网络

2016/1/5 10:17:48,C:\Users\AA\AppData\Local\Temp\lol.exe,48,Allowed ;出站网络访问

2016/1/5 10:17:55,C:\Users\AA\AppData\Local\Temp\lol.exe,53,Allowed ;执行应用程序 ("C:\Users\f

\AppData\Roaming\ProgramFiles(32.1)Updated\svchost.exe" )

2016/1/5 10:17:59,C:\Users\AA\AppData\Local\Temp\lol.exe,26,Blocked ;修改受保护的注册表键 (HKCU

\Software\Microsoft\Windows\CurrentVersion\Run,Sidebar(32.1Updated))

2016/1/5 10:18:01,C:\Users\AA\AppData\Roaming\ProgramFiles(32.1)Updated\svchost.exe,17,Blocked ;记

录键盘输入

2016/1/5 10:18:02,C:\Users\AA\AppData\Roaming\ProgramFiles(32.1)Updated\svchost.exe,26,Blocked ;修

改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Sidebar(32.1Updated))
2016/1/5 10:18:04,C:\Users\AA\AppData\Roaming\ProgramFiles(32.1)Updated\svchost.exe,18,Blocked ;记

录键盘输入
2016/1/5 10:18:05,C:\Windows\System32\services.exe,53,Allowed ;执行应用程序 (C:\windows

\System32\svchost.exe -k WerSvcGroup)
2016/1/5 10:18:10,C:\Users\AA\AppData\Roaming\ProgramFiles(32.1)Updated\svchost.exe,41,Blocked ;修

改受保护的文件 (C:\Users\AA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

\Startup32.1Updated.exe)

2016/1/5 10:18:11,C:\Users\AA\AppData\Roaming\ProgramFiles(32.1)Updated\svchost.exe,26,Blocked ;修

改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Sidebar(32.1Updated))

2016/1/5 10:18:13,C:\Users\AA\AppData\Roaming\ProgramFiles(32.1)Updated\svchost.exe,50,Allowed ;使

用 DNS 解析服务访问网络

2016/1/5 10:18:16,C:\Users\AA\AppData\Roaming\ProgramFiles(32.1)Updated\svchost.exe,48,Allowed ;出

站网络访问

2016/1/5 10:18:18,C:\Users\AA\AppData\Roaming\ProgramFiles(32.1)Updated\svchost.exe,26,Blocked ;修

改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Sidebar(32.1Updated))
2016/1/5 10:18:19,C:\Users\AA\AppData\Roaming\ProgramFiles(32.1)Updated\svchost.exe,26,Blocked ;修

改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Sidebar(32.1Updated))
2016/1/5 10:18:21,C:\Users\AA\AppData\Roaming\ProgramFiles(32.1)Updated\svchost.exe,26,Blocked ;修

改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Sidebar(32.1Updated))

2016/1/5 10:18:23,C:\Users\AA\AppData\Roaming\ProgramFiles(32.1)Updated\svchost.exe,26,Blocked ;修

改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Sidebar(32.1Updated))
2016/1/5 10:18:25,C:\Users\AA\AppData\Roaming\ProgramFiles(32.1)Updated\svchost.exe,26,Blocked ;修

改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Sidebar(32.1Updated))
2016/1/5 10:18:27,C:\Users\AA\AppData\Roaming\ProgramFiles(32.1)Updated\svchost.exe,26,Blocked ;修

改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Sidebar(32.1Updated))
2016/1/5 10:18:30,C:\Users\AA\AppData\Roaming\ProgramFiles(32.1)Updated\svchost.exe,26,Terminated

;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Sidebar

(32.1Updated))

显示全部楼层 · 发表于 2016-1-5 10:23:18

显示全部楼层 · 发表于 2016-1-5 11:00:41

双击过诺顿！

显示全部楼层 · 发表于 2016-1-5 11:07:21

胖福发表于 2016-1-5 11:00
双击过诺顿！

我说的就是这种，诺顿防御不了键盘输入记录，这个时候你在毫无察觉的情况下就被盗了，写入启动项我倒是不怕，早晚有一天会杀

显示全部楼层 · 发表于 2016-1-5 11:09:20

墨家小子发表于 2016-1-5 11:07
我说的就是这种，诺顿防御不了键盘输入记录，这个时候你在毫无察觉的情况下就被盗了，写入启动项我倒是不 ...

诺顿对键盘记录的监控也算严格呀？

显示全部楼层 · 发表于 2016-1-5 11:16:08

胖福发表于 2016-1-5 11:09
诺顿对键盘记录的监控也算严格呀？

压根没有

显示全部楼层 · 发表于 2016-1-5 11:22:22

墨家小子发表于 2016-1-5 11:16
压根没有

那就无解了！

显示全部楼层 · 发表于 2016-1-5 11:24:20

卡巴斯基安全软件
拒绝访问
无法访问该网页

对象 URL :

https://att.kafan.cn/forum.php?mo ... Dk3NTc3MnwxODc0Nzk4

原因 :

对象感染源 Trojan.Win32.Fsysna.cohf
消息生成日期 : 2016/1/5 11:24:25

显示全部楼层 · 发表于 2016-1-5 11:27:07

360 HEUR/QVM03.0.Malware.Gen

显示全部楼层 · 发表于 2016-1-5 11:30:38

墨家小子发表于 2016-1-5 11:16
压根没有

话说回来，这个文件的键盘记录和诺顿检测到的击键捕获有什么区别呢？比如下面这个SONAR的记录！

文件名: 37.vir.exe
威胁名称: SONAR.Heuristic.120完整路径: 不可用
____________________________
____________________________

在电脑上的创建时间
2016-1-5 ( 11:28:13 )

上次使用时间
2016-1-5 ( 11:28:13 )

启动项目
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

37.vir.exe 威胁名称: SONAR.Heuristic.120
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。
____________________________

来源: 外部介质

源文件:
37.vir.exe
____________________________

文件操作

文件: f:\norton样本\临时收集\2016.1.5\ 37.vir.exe 威胁已删除
文件: c:\users\administrator\appdata\local\temp\ ~dfcc9c831d8ba28b58.tmp 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->ActiveTime:1451964491 已修复
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\2016.1.5\37.vir.exe, PID:4136) 未采取操作
(执行者 f:\norton样本\临时收集\2016.1.5\37.vir.exe, PID:4136) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\2016.1.5\ 37.vir.exe, PID:4136 (执行者 f:\norton样本\临时收集\2016.1.5\37.vir.exe, PID:4136) 未采取操作
____________________________

可疑操作

事件: 击键捕获 (执行者 f:\norton样本\临时收集\2016.1.5\37.vir.exe, PID:4136) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

[可疑文件] File name: lol.exe Detection ratio: 7 / 55

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块