File name: bd3023……3b365f.exe Detection ratio: 7 / 54

显示全部楼层 · 发表于 2016-1-5 12:25:19

SHA256: bd30233e79cc5cd03cf6c14e54ea8b92c600937467778fe4b4a3fc95f53b365f
File name: bd30233e79cc5cd03cf6c14e54ea8b92c600937467778fe4b4a3fc95f53b365f.exe
Detection ratio: 7 / 54
Analysis date: 2016-01-05 04:18:19 UTC ( 0 minutes ago )
https://www.virustotal.com/en/fi ... nalysis/1451967499/

2016/1/5 12:19:01,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\Desktop\1\bd30233e79cc5cd03cf6c14e54ea8b92c600937467778fe4b4a3fc95f53b365f.exe" )

2016/1/5 12:19:04,C:\Users\AA\Desktop\1\bd30233e79cc5cd03cf6c14e54ea8b92c600937467778fe4b4a3fc95f53b365f.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData\Local\Temp\two.exe" )

2016/1/5 12:19:25,C:\Users\AA\AppData\Local\Temp\two.exe,53,Allowed ;执行应用程序 (explorer.exe)

2016/1/5 12:19:28,C:\Users\AA\Desktop\1\bd30233e79cc5cd03cf6c14e54ea8b92c600937467778fe4b4a3fc95f53b365f.exe,53,Allowed ;执行应用程序 ("C:\Program Files (x86)\Lenovo\Lenovo Photo Master\PhotoMaster.exe" playback "C:\Users\AA\AppData\Local\Temp\wan.jpg")

2016/1/5 12:19:40,C:\Windows\SysWOW64\explorer.exe,50,Allowed ;使用 DNS 解析服务访问网络

2016/1/5 12:19:45,C:\Windows\SysWOW64\explorer.exe,48,Allowed ;出站网络访问

2016/1/5 12:19:53,C:\Windows\SysWOW64\explorer.exe,47,Allowed ;创建交换数据流 (C:\Users\AA\AppData\Roaming\wrabfbvr\jgigeece.exe:Zone.Identifier)

2016/1/5 12:19:55,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Kingsoft)

显示全部楼层 · 发表于 2016-1-5 12:40:57

http://bbs.kafan.cn/thread-1874841-1-1.html

和这个一样吧！那个里面解压出来的就是本帖的样本！

显示全部楼层 · 发表于 2016-1-5 12:45:06

疯狂修改

2016-1-5 12:43:23 访问网络允许
进程: c:\documents and settings\administrator\application data\360se6\application\360se.exe
目标: TCP [本机 : 1084] -> [204.79.197.200 : 80 (http)]
规则: [网络组]出站连接 -> [网络]任意协议 [本机 : 任意端口] -> [任意地址 : 任意端口]

2016-1-5 12:43:23 修改文件阻止
进程: c:\documents and settings\administrator\application data\360se6\application\360se.exe
目标: C:\Program Files\Microsoft Office\OFFICE11\DSITF.DLL
规则: [文件组]只读磁盘 -> [文件]c:\*

2016-1-5 12:43:23 修改文件阻止
进程: c:\documents and settings\administrator\application data\360se6\application\360se.exe
目标: C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
规则: [文件组]只读磁盘 -> [文件]c:\*

2016-1-5 12:43:23 修改文件阻止
进程: c:\documents and settings\administrator\application data\360se6\application\360se.exe
目标: C:\Program Files\Microsoft Office\OFFICE11\IEAWSDC.DLL
规则: [文件组]只读磁盘 -> [文件]c:\*

2016-1-5 12:43:23 修改文件阻止
进程: c:\documents and settings\administrator\application data\360se6\application\360se.exe
目标: C:\Program Files\Microsoft Office\OFFICE11\XLCALL32.DLL
规则: [文件组]只读磁盘 -> [文件]c:\*

2016-1-5 12:43:25 修改文件阻止
进程: c:\documents and settings\administrator\application data\360se6\application\360se.exe
目标: C:\Program Files\Movie Maker\moviemk.exe
规则: [文件组]只读磁盘 -> [文件]c:\*

2016-1-5 12:43:25 修改文件阻止
进程: c:\documents and settings\administrator\application data\360se6\application\360se.exe
目标: C:\Program Files\Movie Maker\WMM2AE.dll
规则: [文件组]只读磁盘 -> [文件]c:\*

2016-1-5 12:43:26 修改文件阻止
进程: c:\documents and settings\administrator\application data\360se6\application\360se.exe
目标: C:\Program Files\Optimize\Optimize.exe
规则: [文件组]只读磁盘 -> [文件]c:\*

2016-1-5 12:43:26 修改文件阻止
进程: c:\documents and settings\administrator\application data\360se6\application\360se.exe
目标: C:\Program Files\Outlook Express\msimn.exe
规则: [文件组]只读磁盘 -> [文件]c:\*

2016-1-5 12:43:27 修改文件阻止
进程: c:\documents and settings\administrator\application data\360se6\application\360se.exe
目标: C:\Program Files\PotPlayer1.5\d3dx9_43.dll
规则: [文件组]只读磁盘 -> [文件]c:\*

2016-1-5 12:43:27 修改文件阻止
进程: c:\documents and settings\administrator\application data\360se6\application\360se.exe
目标: C:\Program Files\PotPlayer1.5\DesktopHook.dll
规则: [文件组]只读磁盘 -> [文件]c:\*

2016-1-5 12:43:29 修改文件阻止
进程: c:\documents and settings\administrator\application data\360se6\application\360se.exe
目标: C:\Program Files\PPLive\PPTV\3.5.0.0034\avutil-51.dll
规则: [文件组]只读磁盘 -> [文件]c:\*

2016-1-5 12:43:40 修改文件阻止
进程: c:\documents and settings\administrator\application data\360se6\application\360se.exe
目标: C:\Program Files\soft\Foxit Reader\Foxit Reader.exe
规则: [文件组]只读磁盘 -> [文件]c:\*

显示全部楼层 · 发表于 2016-1-5 12:49:21

文件名: two.exe
威胁名称: SONAR.Heuristic.120完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间
2016-1-5 ( 12:47:58 )

上次使用时间
2016-1-5 ( 12:47:58 )

启动项目
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

two.exe 威胁名称: SONAR.Heuristic.120
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
bd30233e79cc5cd03cf6c14e54ea8b92c600937467778fe4b4a3fc95f53b365f.exe

创建的文件:
two.exe

____________________________

文件操作

文件: c:\users\administrator\appdata\local\temp\ two.exe 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\administrator\appdata\local\temp\two.exe, PID:1496) 未采取操作
(执行者 c:\users\administrator\appdata\local\temp\two.exe, PID:1496) 未采取操作
事件: 进程启动: c:\Windows\ explorer.exe, PID:4392 (执行者 c:\users\administrator\appdata\local\temp\two.exe, PID:1496) 未采取操作
事件: 进程启动: c:\users\administrator\appdata\local\temp\ two.exe, PID:1496 (执行者 c:\users\administrator\appdata\local\temp\two.exe, PID:1496) 未采取操作
____________________________

可疑操作

(执行者 c:\users\administrator\appdata\local\temp\two.exe, PID:1496) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-1-5 12:53:49

胖福发表于 2016-1-5 12:40
http://bbs.kafan.cn/thread-1874841-1-1.html

和这个一样吧！那个里面解压出来的就是本帖的样本！

那个是
SHA256: bb11aad4ccb86f151dd13695ea2c7df4c4491e2458f431bb3fa5f3a0633a0480

显示全部楼层 · 发表于 2016-1-5 12:58:39

文件名: two.exe
完整路径: F:\Norton样本\临时收集\two.exe

____________________________

____________________________

开发人员
不可用

版本
8.3.9901.2592

已识别
2016-1-5 ( 12:57:50 )

上次使用时间
不可用

启动项
否

____________________________

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

弱
有一些迹象表明此文件不可信。

____________________________

源文件:
winrar.exe

创建的文件:
two.exe

____________________________

文件指纹 - SHA:
bb11aad4ccb86f151dd13695ea2c7df4c4491e2458f431bb3fa5f3a0633a0480
文件指纹 - MD5:
214469bc22fbe89e9a39ca1d0c745d85

显示全部楼层 · 发表于 2016-1-5 13:04:12

卡巴斯基安全软件
拒绝访问
无法访问该网页

对象 URL :

https://att.kafan.cn/forum.php?mo ... Dk3NTc3MnwxODc0ODQw

原因 :

对象感染源 Trojan-Dropper.Win32.Injector.nvwi
消息生成日期 : 2016/1/5 13:04:19

显示全部楼层 · 发表于 2016-1-5 17:23:54

胖福发表于 2016-1-5 12:40
http://bbs.kafan.cn/thread-1874841-1-1.html

和这个一样吧！那个里面解压出来的就是本帖的样本！

不一样，这个帖子里的样本360杀了，那个帖子里样本360不杀

显示全部楼层 · 发表于 2016-1-6 11:54:10

Bitdefender blocked this page
The page you are trying to access contains Trojan.GenericKD.2967560.

显示全部楼层 · 发表于 2016-1-6 19:49:50

[可疑文件] File name: bd3023……3b365f.exe Detection ratio: 7 / 54

本帖子中包含更多资源

评分

本帖子中包含更多资源

浏览过的版块