File name: lol.exe Detection ratio: 7 / 55

墨家小子

胖福 发表于 2016-1-5 11:30
话说回来，这个文件的键盘记录和诺顿检测到的击键捕获有什么区别呢？比如下面这个SONAR的记录！

文件 ...

这个样本在哪？传上来看看

胖福

墨家小子 发表于 2016-1-5 11:39
这个样本在哪？传上来看看

今天精锐包里面的！

墨家小子

胖福 发表于 2016-1-5 11:44
今天精锐包里面的！

我晕，你给我提取一下，不然我还得下载

胖福

墨家小子 发表于 2016-1-5 11:45
我晕，你给我提取一下，不然我还得下载

请注意查收！

墨家小子

胖福 发表于 2016-1-5 11:49
请注意查收！

SSF没有反应，白的吧？

绅博周幸

扫描报告

2016年1月4日 19:51:39 - 19:51:39

计算机名称: XING
扫描类型: 扫描目标
目标: C:\Users\xing\Downloads\T T copy pdf.rar


结果: 发现 1 个恶意软件
Trojan-spy:W32/Predatorkeylogger.47077b3a52!Online (病毒) •C:\Users\xing\Downloads\T T copy pdf.rar\T T copy pdf.exe








统计信息
已扫描: •文件: 2
•未扫描: 0
结果: •病毒: 1
•间谍软件: 0
•可疑项目: 0
•危险软件: 0
操作: •已杀毒: 0
•已重命名: 0
•删除: 0
•已隔离: 0
•失败: 0
启动扇区: •已扫描: 0
•受感染: 0
•可疑项目: 0
•已杀毒: 0




选项
病毒库版本:•病毒: 2016-01-04_11
•间谍软件: 2016-01-04_11
扫描引擎：•F-Secure Aquarius: 11.00.01, 2016-01-04
•F-Secure Hydra: 5.15.21, 2016-01-02
•F-Secure Online: 15.10.194, 0-00-00
•F-Secure Gemini: 3.02.384, 2016-01-04
扫描选项： •扫描指定类型的文件： COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ POT MSO PIF ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI BAT CMD DOC DOT JOB LSP MHT PHP PPT SWF WMA WMV WMF WRI XLS XLT CLASS DOCX DOCM DOTX DOTM DOCB XLSX XLSM XLTX XLTM XLSB XLAM PPTX PPTM POTX POTM PPAM PPSX PPSM SLDX SLDM PUB TMP ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
•扫描压缩文件内部
操作:•病毒: 删除受感染文件
•间谍软件: 删除受感染文件

胖福

墨家小子 发表于 2016-1-5 11:52
SSF没有反应，白的吧？

这类东西，双击后只要敲击键盘通常就会触发SONAR，所以我才奇怪，至于这个文件白不白的我倒不在乎！

墨家小子

胖福 发表于 2016-1-5 11:57
这类东西，双击后只要敲击键盘通常就会触发SONAR，所以我才奇怪，至于这个文件白不白的我倒不在乎！

这我倒没注意，再去试试

sanhu35

运行初始化失败

胖福

文件名: lol.exe
威胁名称: SONAR.SuspDrop!gen1完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2016-1-5 ( 12:52:00 )

上次使用时间 
2016-1-5 ( 12:52:00 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


lol.exe 威胁名称: SONAR.SuspDrop!gen1
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
lol.exe

____________________________

文件操作

文件: f:\norton样本\已分类\trojan.zbot（trojan.cryptolocker.n；trojan.ransomlock.ak）\ lol.exe 威胁已删除
目录: c:\users\administrator\appdata\roaming\ programfiles(32.1)updated 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\已分类\trojan.zbot（trojan.cryptolocker.n；trojan.ransomlock.ak）\lol.exe, PID:1696) 未采取操作
事件: PE 文件创建: c:\users\administrator\appdata\roaming\programfiles(32.1)updated\ svchost.exe (执行者 f:\norton样本\已分类\trojan.zbot（trojan.cryptolocker.n；trojan.ransomlock.ak）\lol.exe, PID:1696) 未采取操作
事件: 进程启动: f:\norton样本\已分类\trojan.zbot（trojan.cryptolocker.n；trojan.ransomlock.ak）\ lol.exe, PID:1696 (执行者 f:\norton样本\已分类\trojan.zbot（trojan.cryptolocker.n；trojan.ransomlock.ak）\lol.exe, PID:1696) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用