收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 File name: q5f21a2e0e3c.exe Detection ratio: 9 / 53 ...
123下一页
返回列表 发新帖
查看: 3281|回复: 26
收起左侧

[可疑文件] File name: q5f21a2e0e3c.exe Detection ratio: 9 / 53 HMPA真心不错

[复制链接]
墨家小子
发表于 2016-1-11 17:22:27 | 显示全部楼层 |阅读模式
本帖最后由 墨家小子 于 2016-1-11 17:42 编辑

SHA256:        dffde400ad3d2af2bbd61c58bed9dcf7e3e37cec6210c9841d8ed5dc9117343d
File name:        q5f21a2e0e3c.exe
Detection ratio:        9 / 53
Analysis date:        2016-01-11 09:20:38 UTC ( 1 minute ago )
https://www.virustotal.com/en/fi ... nalysis/1452504038/



HMPA对于注入执行代码一贯的拦截态度


[mw_shl_code=css,true]2016/1/11 17:36:57,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\Desktop

\1\q5f21a2e0e3c.exe" )

2016/1/11 17:36:59,C:\Users\AA\Desktop\1\q5f21a2e0e3c.exe,53,Allowed ;执行应用程序 (C:\Users\f

\Desktop\1\q5f21a2e0e3c.exe)

2016/1/11 17:37:01,C:\Users\AA\Desktop\1\q5f21a2e0e3c.exe,53,Allowed ;执行应用程序 (C:\windows

\SYSTEM32\explorer.exe)

2016/1/11 17:37:04,C:\Windows\SysWOW64\explorer.exe,53,Allowed ;执行应用程序 (cmd.exe /c

makecab "C:\windows\SysWOW64\bthudtask.exe" "C:\Users\AA\AppData\Roaming\cabfile.cab")

2016/1/11 17:37:07,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (makecab  "C:

\windows\SysWOW64\bthudtask.exe" "C:\Users\AA\AppData\Roaming\cabfile.cab")

2016/1/11 17:37:09,C:\Windows\SysWOW64\explorer.exe,53,Allowed ;执行应用程序 (cmd.exe /c wusa

"C:\Users\AA\AppData\Roaming\cabfile.cab" /extract:"C:\windows\SysWOW64\setup")

2016/1/11 17:37:10,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (wusa  "C:\Users\f

\AppData\Roaming\cabfile.cab" /extract:"C:\windows\SysWOW64\setup")

2016/1/11 17:37:11,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 ("C:\windows

\system32\wusa.exe"  "C:\Users\AA\AppData\Roaming\cabfile.cab" /extract:"C:\windows

\SysWOW64\setup")

2016/1/11 17:37:12,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 ("C:\windows

\SysWOW64\wusa.exe"  "C:\Users\AA\AppData\Roaming\cabfile.cab" /extract:"C:\windows

\SysWOW64\setup")

2016/1/11 17:37:14,C:\Windows\SysWOW64\explorer.exe,53,Allowed ;执行应用程序 (cmd.exe /c

makecab "C:\Users\AA\AppData\Roaming\newdev.dll" "C:\Users\AA\AppData\Roaming\cabfile.cab")

2016/1/11 17:37:15,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (makecab  "C:\Users\f

\AppData\Roaming\newdev.dll" "C:\Users\AA\AppData\Roaming\cabfile.cab")

2016/1/11 17:37:17,C:\Windows\SysWOW64\explorer.exe,53,Allowed ;执行应用程序 (cmd.exe /c wusa

"C:\Users\AA\AppData\Roaming\cabfile.cab" /extract:"C:\windows\SysWOW64\setup")

2016/1/11 17:37:18,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 (wusa  "C:\Users\f

\AppData\Roaming\cabfile.cab" /extract:"C:\windows\SysWOW64\setup")

2016/1/11 17:37:20,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 ("C:\windows

\system32\wusa.exe"  "C:\Users\AA\AppData\Roaming\cabfile.cab" /extract:"C:\windows

\SysWOW64\setup")

2016/1/11 17:37:21,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 ("C:\windows

\SysWOW64\wusa.exe"  "C:\Users\AA\AppData\Roaming\cabfile.cab" /extract:"C:\windows

\SysWOW64\setup")

2016/1/11 17:37:32,C:\Windows\SysWOW64\explorer.exe,53,Allowed ;执行应用程序 ("C:\windows

\SysWOW64\setup\bthudtask.exe" )

2016/1/11 17:37:32,C:\Windows\System32\conhost.exe,40,Allowed ;以修改权限打开进程或线程

(bthudtask.exe(pid=9152))

2016/1/11 17:37:35,C:\Windows\SysWOW64\setup\bthudtask.exe,53,Allowed ;执行应用程序 (C:\Users

\AA\Desktop\1\q5f21a2e0e3c.exe)

2016/1/11 17:37:36,C:\Users\AA\Desktop\1\q5f21a2e0e3c.exe,53,Allowed ;执行应用程序 (C:\Users\f

\Desktop\1\q5f21a2e0e3c.exe)

2016/1/11 17:37:38,C:\Users\AA\Desktop\1\q5f21a2e0e3c.exe,53,Allowed ;执行应用程序 (C:\windows

\SYSTEM32\explorer.exe)

2016/1/11 17:37:43,C:\Windows\SysWOW64\explorer.exe,47,Allowed ;创建交换数据流 (C:\Windows

\SysWOW64\SPlayer\SPlayer.exe:Zone.Identifier)

2016/1/11 17:37:48,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;修改受保护的注册表键 (HKLM

\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\Explorer\Run,SPlayer)

2016/1/11 17:37:52,C:\Windows\SysWOW64\explorer.exe,53,Allowed ;执行应用程序 (C:\windows

\SYSTEM32\tasklist.exe)

2016/1/11 17:37:52,C:\Windows\System32\conhost.exe,40,Allowed ;以修改权限打开进程或线程

(tasklist.exe(pid=9732))

2016/1/11 17:37:56,C:\Windows\SysWOW64\tasklist.exe,26,Blocked ;修改受保护的注册表键 (HKLM

\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\Explorer\Run,SPlayer)

2016/1/11 17:37:58,C:\Windows\SysWOW64\tasklist.exe,53,Allowed ;执行应用程序 (C:\windows

\SYSTEM32\explorer.exe)

2016/1/11 17:38:01,C:\Windows\SysWOW64\explorer.exe,53,Allowed ;执行应用程序 (C:\windows

\SYSTEM32\svchost.exe)

2016/1/11 17:38:04,C:\Windows\SysWOW64\tasklist.exe,26,Blocked ;修改受保护的注册表键 (HKLM

\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\Explorer\Run,SPlayer)
2016/1/11 17:38:06,C:\Windows\SysWOW64\tasklist.exe,26,Blocked ;修改受保护的注册表键 (HKLM

\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\Explorer\Run,SPlayer)
2016/1/11 17:38:07,C:\Windows\SysWOW64\tasklist.exe,26,Blocked ;修改受保护的注册表键 (HKLM

\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\Explorer\Run,SPlayer)
2016/1/11 17:38:10,C:\Windows\SysWOW64\tasklist.exe,26,Blocked ;修改受保护的注册表键 (HKLM

\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\Explorer\Run,SPlayer)

2016/1/11 17:38:12,C:\Windows\SysWOW64\svchost.exe,41,Blocked ;修改受保护的文件 (C:\Users\f

\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta)

2016/1/11 17:38:17,C:\Windows\SysWOW64\tasklist.exe,26,Blocked ;修改受保护的注册表键 (HKLM

\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\Explorer\Run,SPlayer)

2016/1/11 17:38:24,C:\Windows\SysWOW64\svchost.exe,53,Blocked ;执行应用程序 (wmic process call

create "vssadmin.exe delete shadows /all /quiet")

2016/1/11 17:38:26,C:\Windows\SysWOW64\tasklist.exe,26,Blocked ;修改受保护的注册表键 (HKLM

\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\Explorer\Run,SPlayer)
2016/1/11 17:38:27,C:\Windows\SysWOW64\tasklist.exe,26,Blocked ;修改受保护的注册表键 (HKLM

\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\Explorer\Run,SPlayer)
2016/1/11 17:38:29,C:\Windows\SysWOW64\tasklist.exe,26,Blocked ;修改受保护的注册表键 (HKLM

\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\Explorer\Run,SPlayer)
2016/1/11 17:38:31,C:\Windows\SysWOW64\tasklist.exe,26,Blocked ;修改受保护的注册表键 (HKLM

\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\Explorer\Run,SPlayer)
2016/1/11 17:38:33,C:\Windows\SysWOW64\tasklist.exe,26,Blocked ;修改受保护的注册表键 (HKLM

\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\Explorer\Run,SPlayer)
2016/1/11 17:38:35,C:\Windows\SysWOW64\tasklist.exe,26,Blocked ;修改受保护的注册表键 (HKLM

\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\Explorer\Run,SPlayer)
2016/1/11 17:38:38,C:\Windows\SysWOW64\tasklist.exe,26,Terminated ;修改受保护的注册表键 (HKLM

\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\Explorer\Run,SPlayer)
[/mw_shl_code]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

莒县小哥
发表于 2016-1-11 17:24:28 | 显示全部楼层
管家  双击

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

墨家小子
 楼主| 发表于 2016-1-11 17:26:42 | 显示全部楼层
莒县小哥 发表于 2016-1-11 17:24
管家  双击

阻止之后呢?
回复

举报

莒县小哥
发表于 2016-1-11 17:29:44 | 显示全部楼层
墨家小子 发表于 2016-1-11 17:26
阻止之后呢?

就没有反映了。。。。。。。。。。
回复

举报

猥琐大叔
发表于 2016-1-11 17:34:24 | 显示全部楼层




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

墨家小子
 楼主| 发表于 2016-1-11 17:48:26 | 显示全部楼层
莒县小哥 发表于 2016-1-11 17:29
就没有反映了。。。。。。。。。。

看看文档被加密没有
回复

举报

莒县小哥
发表于 2016-1-11 17:52:48 | 显示全部楼层
墨家小子 发表于 2016-1-11 17:48
看看文档被加密没有

加密了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

开开心心卖手机
发表于 2016-1-11 17:53:20 | 显示全部楼层

这货能与蛋挞搭配吗

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

墨家小子
 楼主| 发表于 2016-1-11 17:59:55 | 显示全部楼层
开开心心卖手机 发表于 2016-1-11 17:53
这货能与蛋挞搭配吗

自己试试呗,问我干什么,我都不用GD,回答你还要安装GD,我累不累啊
回复

举报

墨家小子
 楼主| 发表于 2016-1-11 18:00:49 | 显示全部楼层
莒县小哥 发表于 2016-1-11 17:52
加密了

看来管家也是娱乐型的
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-17 21:45 , Processed in 0.140186 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表